A névfeloldás
A névfeloldás
A domain nevek feloldása feloldó DNS szerverekkel, rezolverekkel működik. A nagyobb teljesítmény igény miatt ezek gyakran nem azonosak a felhatalmazott szerverekkel, hanem külön vasakon futnak. (Elvben lehetnének azonosak is, a technológia ezt engedi, csak gyakorlatban olyan méretű szolgáltatóknál, mint amilyeneket a netezők zöme igénybe vesz, nem érdemes.)
A felhasználó számítógépe az internet indításakor megkapja a szolgáltatótól a rezolver DNS szerverek IP-címeit (rendszerint kettőt). Ezt vagy a DHCP-s konfiguráláskor küldi át az ISP, vagy a PPP kapcsolat indításakor kapja meg a gép.
A nevek feloldása a felhasználó PC-jén kezdődik, az operációs rendszer ellenőrzi, hogy a közelmúltban találkozott-e már azzal a domain névvel. Ehhez (a címfordítás gyorsítása érdekében) lokális DNS cache-t tart karban az oprendszer. Ha nincs benne a cache-ben a név, akkor a kérést elküldi az ISP-től kapott rezolver DNS-ek egyikének.
A rezolver DNS-ekbe fixen beleírták a root szerverek címeit:
Hirdetés
A.ROOT-SERVERS.NET. 3600000 A 198.41.0.4
B.ROOT-SERVERS.NET. 3600000 A 192.228.79.201
C.ROOT-SERVERS.NET. 3600000 A 192.33.4.12
D.ROOT-SERVERS.NET. 3600000 A 128.8.10.90
E.ROOT-SERVERS.NET. 3600000 A 192.203.230.10
F.ROOT-SERVERS.NET. 3600000 A 192.5.5.241
G.ROOT-SERVERS.NET. 3600000 A 192.112.36.4
H.ROOT-SERVERS.NET. 3600000 A 128.63.2.53
I.ROOT-SERVERS.NET. 3600000 A 192.36.148.17
J.ROOT-SERVERS.NET. 3600000 A 192.58.128.30
K.ROOT-SERVERS.NET. 3600000 A 193.0.14.129
L.ROOT-SERVERS.NET. 3600000 A 199.7.83.42
M.ROOT-SERVERS.NET. 3600000 A 202.12.27.
Ezek azok az ominózus root szerverek, amiket fel akarnak borítani.
A rezolver DNS szerver minden kérés esetén ellenőrzi, hogy a kérdéses domain névhez tartozó IP-cím megtalálható-e a saját cache-jében. Ha igen, visszaküldi a címet, ha nem, elkezdi a rekurzív címfeloldást. Először a domain név legutolsó tagját keresi ki, ami a pont, vagyis a root. A roothoz tartozó DNS szerverek IP-címe fixen benne van a konfigjában. Leválasztja a domain névből az utolsó (eredetileg utolsó előtti, de most ezen a pongyolaságon szaladjunk túl) tagot, ami kedvenc példánknál a hu (hu.). Megkérdezi a root DNS szerverektől a hu. zóna jogosult szervereinek az IP-címét:
host -t ns hu.
hu name server ns-com.nic.hu.
hu name server c.hu.
hu name server ns.nic.hu.
hu name server b.hu.
hu name server ns2.nic.fr.
hu name server e.hu.
hu name server d.hu.
Ebből a válaszból tudni fogja, hogy mely DNS szerverek jogosultak a hu. zónához tartozó kéréseket kiszolgálni. Választ egy DNS szervert és leválasztja a domain névből a következő tagot:
host -t ns prohardver.hu.
prohardver.hu name server ns2.iec.hu.
prohardver.hu name server ns1.iec.hu.
Ebből a kérésből már tudja, hogy ki felelős a prohardver.hu. zónáért, illetve azt is látja, hogy a www.prohardver.hu címből már nem maradt aldomain, tehát ennek a szervernek már konkrét címfeloldási kérést küld:
host www.prohardver.hu.
www.prohardver.hu is an alias for r7.prohardver.hu.
r7.prohardver.hu has address 92.61.114.124
r7.prohardver.hu mail is handled by 20 r7.prohardver.hu.
Itt megkapjuk a keresett domain név IP-címét és azt, hogy melyik szerver kezeli a domainhez tartozó bejövő postát. (megint pongyola leszek kicsit, az aliasba nem megyek bele)
Lehet socketet nyitni, kapcsolódni a webszerverre és tolni a fórumot :)
Mit terveznek a névtelenek?
Minden szerver kapacitása véges. Hogy konkrétan mennyi, az már zsetonfüggő, de véges. Ráadásul az internet szolgáltatásai mindig minden esetben statisztikus hozzáférésre vannak méretezve, vagyis arra, hogy egyik pillanatban egyik user használja, másik pillanatban másik. Amikor betölti valaki a PH! kezdőoldalát, akkor egy rövid ideig számára vannak csúcsra járatva a szerverek, de utána olvasgat, eldönti, hogy mi érdekli a választékból, stb. egy relatíve hosszú ideig nem foglal semmilyen erőforrást, csak amikor egy aloldalra klikkel. Közben másnak is jut a kapacitásból.
Összességében tehát egyik usernek az idő (mondjuk) 0.05%-ában van szüksége a szerver kapacitására, a maradék 99.95%-ban más usereknek jut erőforrás.
Ezt az elvet fel lehet borítani azzal, ha egy gépről konstans nagy terhelést küldenek egy szerverre. A DOS támadások lényege az, hogy nem statisztikus, hanem konstans nagy, dedikált terheléssel bombázzák meg a szervert. Minden internetes kapcsolódás erőforrást emészt fel, memóriát, processzort, ami előbb-utóbb elfogy. Ha elfogy, akkor neked (= jogos forgalom számára) nem jut.
A DDOS azzal több, hogy nem egy gépről nyomják a konstans nagy terhelést, hanem sokról egyszerre, így még nagyobb terhelést lehet okozni.
Mit jelent ez a DNS esetén?
A DNS esetén ez azt jelenti, hogyha a rezolverednek a root DNS szerverekhez kell fordulnia, nem fog választ kapni. Vagyis nem fogja megtudni, hogy az általad megnézni kívánt domain utolsó tagjának ki a feljogosított kiszolgálója. Ez mindaddig nem baj, amíg a rezolvered nem akar a root DNS szerverhez fordulni, vagyis olyan domaint akarsz nézni, amit valaki más már nézett előtted és emiatt benne van a rezolver cache-ében a jogosított DNS IP-címe. Ha nincs benne, buktad.
A cikk még nem ért véget, kérlek, lapozz!
