clase practica 04 - DNS Flashcards
Servicios de DNS
DNS provee tres servicios
- Host aliasing
- Mail aliasing
- load balancing
Infraestructura de DNS.
Un sist. centralizado no escalaria:
- single point of failure
- latencia a todo el mundo
- hardware costoso
Base de datos jerarquica y distribuida
- root servers
- top level domain servers (.com, .ar)
- servidores autoritativos
Paso 0 en DNS. Donde se ubica y por que.
Local resolver. Todos los ISPs/organizaciones tienen uno. Es cercano a los users.
Wrappea la tabla anterior:
- el user realiza la query al resolver
- este incia el proceso con el servidor raiz
- cuando el SA finalmente le contesta la IP, la envia al user
[cache] Que pasa cuando ingresamos una URL en un browser y apretamos enter?
● tipeamos drive.google.com en nuestro browser
● El browser busca la URL en la(s) cachés de DNS:
○ Primero, checkea su propia caché
○ Si no lo encuentra, system call
○ El SO checkea su caché
● Si el SO no lo encuentra, se escala al DNS resolver que tengamos configurado:
○ Puede ser por ej, 8.8.8.8 (DNS de google)
○ También puede ser el default gateway (nuestro router local)
● El router checkea su DNS caché
● Si no lo encuentra, se escala al ISP, que checkea su DNS caché
● Las cachés ayudan a bajar el tráfico en la red y a mejorar los tiempos de respuesta
● Si no se encontró la URL en ninguna caché, el DNS server del ISP lanza una query DNS para averiguar la ip de drive.google.com.
● El root server redirige al TLD .com
● .com redirige al SA google.com
● Éste va a encontrar drive.google.com en sus DNS records, y contestará la IP al DNS del ISP
● El DNS server del ISP contesta la IP al SO y por extensión a nuestro browser.
● Con esta IP, el browser puede realizar un request HTTP
● El servidor recibe la request y contesta una HTTP response.
● En el body de esa response, va a estar el HTML de drive.google.com.
● Nuestro browser interpreta este HTML y nos muestra la página
Tipos de ataques DoS
- ataque de vulnerabilidad
- connection flooding
- bandwidth flooding
ataque de vulnerabilidad
● Explota fallas en el diseño o implementación del servicio atacado.
● Pocos mensajes, pero bien diseñados.
connection flooding
● Agota los recursos de un servidor generando muchas conexiones.
Bandwidth flooding
● Se inunda de mensajes el enlace al servicio, agotando el ancho de banda.
● Es clave para el éxito del ataque poder amplificarlo.
DDoS
● El tráfico del ataque proviene de varias fuentes
● Dificulta la detección y la mitigación del ataque.
● Se suelen utilizar botnets para llevarlos a cabo
DDoS Botnets
Conjunto de dispositivos conectados a internet, incluidos PCs, servidores, dispositivos móviles y dispositivos IoT infectados y controlados por algún tipo de malware.
DoS - Blackholing & Rerouting
● Mecanismos para mitigar ataques DoS.
● Consiste en desviar el tráfico a una dirección inexistente.
● Se actualiza la configuración de DNS para apuntar a otra dirección
Que guarda la base de datos distribuida de DNS?
Que formato tienen?
Resource records (RR) Son tuplas de 4 elementos: (Name, Value, Type, TTL)
EDNS
● No hay cambios en el header de DNS.
● Compatibilidad con implementaciones anteriores.
● Se crea un nuevo pseudo-RR: OPT
● Permite agregar nuevos RR
Aplicaciones de EDNS
- ECS
- DNSSEC
Que contra tiene EDNS?
Posibilita ataques de DNS Amplification.
ECS
EDNS Client Subnet.
● Utiliza eDNS para enviar la información del generador de la query hasta el servidor autoritario.
● Los servidores DNS autoritarios pueden devolver distintos registros en base a esta información.
DNSSEC
● Son una serie de extensiones que proveen un mecanismo de seguridad sobre DNS.
● Protege las aplicaciones contra la manipulación de datos (spoofing).
● Es backwards compatible
Servicios que provee DNSSEC
● Servicios que provee:
○ Autenticación del origen de los datos
○ Garantía de integridad de datos
○ Autenticación de denegación de existencia
Que utiliza DNSSEC para proveer sus servicios?
● Utiliza criptografía asimétrica para firmar y autenticar RRs. ● Para esto, introduce 4 nuevos RRs ○ DNSKEY (DNS Public Key) ○ RRSIG (Resource Record Signature) ○ NSEC (Next Secure) ○ DS (Delegation Signer)
● DNSKEY
○ Guarda la clave pública para luego poder desencriptar la firma digital.
○ Juega un rol esencial durante el proceso de autenticación de DNSSEC.
● RRSIG
○ En este RR se guarda la firma digital.
● NSEC
○ Indica el proximo servidor autoritario seguro
● DS
○ Contiene metadata relacionada al DNSKEY RR.
○ Es utilizado durante el proceso de autenticación.
DOH
● Enviar mensajes DNS sobre HTTPS
● Resuelve el problema de confidencialidad de los mensajes DNS
