По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
NoSQL СУБД, или нереляционные базы данных, обладают уникальными возможностями, которые компенсируют ограничения моделей реляционных баз. Нереляционные СУБД – это общее название для 4 основных подгрупп:
базы данных типа «ключ-значение»
колоночные базы данных
графовые базы данных
документные базы данных
В этой статье мы расскажем о том, что такое документная база данных, опишем ее плюсы и минусы, а также рассмотрим примеры.
Документная база данных
Документная (или документоориентированная) база данных – это тип нереляционных СУБД, который хранит данные не в столбцах и строках, а в виде документов JSON. JSON является нативным языком, используемым для хранения и запросов данных. Такие документы можно сгруппировать в коллекции, которые образуют системы баз данных.
Каждый документ состоит из нескольких пар «ключ-значение». Ниже приведен пример документа из 4 пар «ключ-значение»:
{
"ID" : "001",
"Book" : "Java: The Complete Reference",
"Genre" : "Reference work",
"Author" : "Herbert Schildt",
}
JSON позволяет разработчикам приложений хранить и запрашивать данные в том же формате документной модели, который используется ими для структурирования кода приложений. Объектную модель можно преобразовать в такие форматы, как JSON, BSON и XML.
Сравнение реляционной и документной базы данных
Реляционная система управления базами данных (РСУБД) основана на языке структурированных запросов (SQL). Для нереляционных баз они не нужны.
РСУБД занимается созданием связей между файлами для хранения и считывания данных. Документные базы данных ориентированы на сами данные, а связи между ними представлены в виде вложенных данных.
Ключевое сравнение реляционных и документных баз данных:
РСУБД
Система документных баз данных
Выстроена вокруг концепции о связях
Сосредоточена на данных, а не связях
Структурирует данные в кортежи (или строки)
Вместо строк в документах имеются свойства без теоретических определений.
Определяет данные (образует связи) через ограничения и внешние ключи (например, дочерняя таблица ссылается на основную таблицу через ее идентификатор).
Для определения схем не нужен язык DDL.
Для создания связей использует язык DDL (язык описания данных).
Вместо внешних ключей связи реализованы через вложенные данные (в одном документе могут содержаться другие, вложенные в него, документы, из-за чего между двумя сущностями документов формируется связь 1 ко многим (или многие к одному)).
Обеспечивает исключительную согласованность. В некоторых случаях она просто необходима (например, ежедневные банковские операции).
Обеспечивает согласованность в конечном счете (с периодом несогласованности).
Особенности документной базы данных
Документные базы данных обеспечивают быстрые запросы, структуру, которая отлично подходит для обработки больших данных, гибкое индексирование и упрощенный принцип поддержания баз данных. Такая СУБД эффективна для веб-приложений и была полностью интегрирована крупными ИТ-компаниями уровня Amazon.
Несмотря на то, что базы данных SQL могут похвастаться отличной стабильность и вертикальной структурой, им свойственна «тяжеловесность» данных. В сценариях использования, когда требуется моментальный доступ к данным (например, медицинские приложения), лучше выбирать документные базы данных. Так вы сможете легко запрашивать данные в той же модели документа, в которой писался код приложения.
Примеры использования документной базы данных
База данных «Книга»
Для создания баз данных «Книга» используются как реляционные, так и нереляционные СУБД, хотя и по-разному.
В реляционных СУБД связи между книгами и авторами выражаются через таблицы с идентификаторами ID: таблица Author (Автор) и таблица Books (Книги). Данная модель не допускает пустых значений, поэтому за каждым «Автором» должна быть закреплена как минимум одна запись в таблице «Книги».
В документной модели вы можете вкладывать данные. Такая модель показывает взаимосвязи проще и естественнее: в каждом документе с авторами есть свойство Books с массивом связанных документов «Книги». При поиске по автору отображается вся коллекция книг.
Управление содержимым
Разработчики пользуются документными базами данных для создания блогов, платформ с потоковыми видео и аналогичных сервисов. Каждый файл сохраняется в виде отдельного документа, и со временем, по мере разрастания сервиса, такую базу легче поддерживать. На значимые изменения в данных (как, например, изменения модели данных) не требуется простоя, поскольку им не нужно обновление схемы.
Каталоги
Когда дело касается хранения и чтения файлов каталога, документные базы данных оказываются в разы эффективнее реляционных СУБД. В каталогах могут храниться тысячи атрибутов, а документная база данных обеспечивает их быстрое считывание. В документных базах данных атрибуты, связанные с одним продуктом, хранятся в одном документе. Изменение атрибутов в одном из продуктов не влияет на другие документы.
Плюсы и минусы документной базы данных
Ниже представлены главные плюсы и минусы документной базы данных:
Плюсы документной БД
Минусы документной БД
Отсутствие схемы
Ограничения по проверке на согласованность
Быстрое создание и обслуживание
Проблемы с атомарностью
Отсутствие внешних ключей
Безопасность
Открытые форматы
Встроенное управление версиями
Плюсы
Отсутствие схемы. Нет ограничений по формату и структуре хранилищ данных. Это хорошо для сохранения существующих данных в больших объемах и разных структурных состояниях, особенно в непрерывно преобразующихся системах.
Быстрое создание и обслуживание. Как только вы создали документ, ему требуется лишь минимальная поддержка – она может оказаться не сложнее разового добавления вашего сложного объекта.
Отсутствие внешних ключей. Когда эта динамика связей отсутствует, документы становятся независимыми друг от друга.
Открытые форматы. Чистый процесс сборки, в котором для описания документов используется XML, JSON и другие производные.
Встроенное управление версиями. По мере того, как увеличивает размер ваших документов, повышается и их сложность. Управление версиями уменьшает количество конфликтов.
Минусы
Ограничения по проверке на согласованность. В примере с базой данных «Книга» можно искать книги по несуществующему автору. При поиске по коллекциям книг вы можете находить документы, не связанные с коллекцией авторов. Кроме того, в каждом списке для каждой книги может дублироваться информация об авторе. В некоторых случаях такая несогласованность не особо важна. Но при более высоких стандартах непротиворечивости РСУБД несогласованность серьезно снижает производительность баз данных.
Проблемы с атомарностью. Реляционные системы позволяют изменять данные из одного места без использования JOIN. Все новые запросы на чтение унаследуют изменения, внесенные в данные по одной команде (например, обновление или удаление строки). Для документных баз данных изменение, затрагивающее 2 коллекции, выполняется через 2 отдельных запроса (по одному на коллекцию). Это нарушает требования к атомарности.
Безопасность. Почти в половине современных веб-приложений отмечается активная утечка конфиденциальных данных. Поэтому владельцам нереляционных баз данных следует быть крайне внимательными к уязвимостям веб-приложения.
Лучшие документные базы данных
Amazon DocumentDB
Особенности:
совместимость с MongoDB;
полная управляемость;
высокая производительность с низкой задержкой запросов;
строгое соответствие требованиям и безопасность;
высокая доступность.
Как используется:
Вся команда разработки Amazon пользуется Amazon DocumentDB для повышения оперативности и продуктивности. Им нужны были вложенные индексы, агрегирование, ad-hoc запросы (запросы узкой специализации), а также полностью управляемый процесс.
BBC использует документные БД для запросов и хранения данных из нескольких потоков данных с компиляцией их в единый канал для клиентов. Они перешли на Amazon DocumentDB, чтобы получить полностью управляемы сервис с высокой доступностью, прочностью и резервным копированием по умолчанию.
Rappi выбрали Amazon DocumentDB для сокращения времени на написание кода, Dow Jones – для упрощения операций, а Samsung – для более гибкой обработки больших журналов.
MongoDB
Особенности:
ad-hoc запросы;
оптимизированное индексирование для запросов;
сегментирование;
балансировка нагрузки.
Как используется:
Forbes сократил время компоновки на 58%, получив прирост в 28% по количеству подписок, за счет более быстрого создания новых функций, более простого объединения и более качественной обработки разнообразных типов данных.
Toyota заметила, что разработчикам было проще работать с документными БД на больших скоростях за счет использования нативных JSON-документов. Больше времени тратилось на создание ценности бизнеса, а не на моделирование данных.
Cosmos DB
Особенности:
быстрое чтение в любом масштабе;
99,999% доступность;
полная управляемость;
NoSQL/Native Core API;
бессерверное, экономичное/мгновенное масштабирование.
Как используется:
Coca-Cola получает информацию за минуты, что способствует глобальному масштабированию. До перехода на Cosmos DB на это уходили часы.
ASOS искали распределенную базу данных, которая легко и гибко масштабируется для обслуживания 100+ миллионов розничных клиентов по всему миру.
ArangoDB
Особенности:
валидации схем;
разноплановое индексирование;
быстрые распределенные кластеры;
эффективность с большими наборами данных;
поддержка многих нереляционных моделей данных;
объединение моделей в единые запросы.
Как используется:
Оксфордский университет разработал онлайн-тестирование на сердечно-легочные заболевания, благодаря чему снизил посещаемость больниц и усовершенствовал результаты анализов.
FlightStats привел к единому стандарту разрозненную информацию о полетах (статус рейса, погодные условия, задержки в аэропорту, справочные данные), что позволило получить точные, прогнозирующие и аналитические результаты.
Couchbase Server
Особенность:
возможность управления глобальными развертываниями;
крайняя гибкость и адаптивность;
быстрота в крупных масштабах;
простые облачные интеграции.
Как используется:
BT использовал гибкую модель данных Couchbase для ускорения собственных возможностей по высокопроизводительной поставке контента, а также легкого масштабирования в моменты резкого повышения спроса.
eBay перешел от Oracle к более экономичному и функциональному решению (их документной системы/хранилища типа «ключ-значение»). Возросла доступность и производительность приложения, а разработчики могли пользоваться своим опытом в SQL для ускорения пайплайна CI/CD (конвейера сборки) через более гибкую схему.
CouchDB
Особенности:
графический интерфейс на базе браузера;
простейшие репликации;
аутентификация пользователя;
свойства ACID (Атомарность – Согласованность – Изолированность – Прочность).
Как используется:
Meebo (соцсеть) пользуется CouchDB для веб-интерфейса и его приложений.
The BBC выбрал CouchDB за платформы динамического контента
Как выбрать?
Структуру данных определяют важнейшие требования, предъявляемые к приложению. Вот несколько ключевых вопросов:
Вы будете больше читать или записывать? В случае, если вы чаще записываете данные, лучше подойдут реляционные системы, поскольку они позволяют избегать задвоений при обновлениях.
Насколько важна синхронизация? Благодаря стандартам ACID, реляционные системы справляются с этой задачей лучше.
Насколько сильно потребуется изменять вашу схему базы данных в будущем? Документные БД – это беспроигрышный вариант, если вы работаете с разнообразными данными в масштабе и ищете минимальной поддержки.
Нельзя сказать, что документная СУБД или SQL база лучше во всем. Правильный выбор зависит от вашего сценария использования. Принимая решение, подумайте, какие типы операций будут выполняться чаще всего.
Заключение
В данной статье мы объяснили особенности документной базы данных, поговорили о плюсах и минусах системы, а также рассмотрели сценарии использования. Кроме того, был приведен список лучших документных СУБД и рассказано, как компании из рейтинга Forbes 500 пользуются этими системами для повышения эффективности своей деятельности и процессов разработки.
От слов к делу! Заходим на Communication Manager через веб-браузер по его IP-адресу. После ввода правильных логина и пароля нас информируют об удачном входе и времени последней попытки неудачного входа с указание IP- адреса, откуда была выполнена данная попытка.
Далее выбрав пункт Administration → Server (Maintenance) мы попадаем в веб-интерфейс управления и настройки Communication Manager.
Как мы видим, тут очень много ссылок, которые позволяют проводить мониторинг работоспособности системы, диагностировать и настраивать ее. Ссылки сгруппированы по функционалу:
Alarm – Current Alarm позволяет просматривать ошибки и предупреждения, выводимые системой с указанием даты возникновения. При необходимости после ознакомления предупреждения можно удалить.
Diagnostics – в данном разделе представлен доступ для диагностики и просмотра результатов работоспособности сервера.
Restarts – выводит список историй перезагрузок сервера с указанием причин перезагрузки, даты и времени перезагрузки и статуса процесса.
System Logs – позволяет получить и просмотреть большое количество сообщений из различных журналов системы, используя настраиваемые фильтры.
Ping, Traceroute – данные утилиты позволяют проверить доступность требуемого хоста (по имени или IP-адресу) с самого сервера.
Netstat – с помощью настраиваемых фильтров позволяет получить различную информацию по подключениям самого сервера (порты, сетевые интерфейсы, статусы и так далее.)
Server – в данной группе собрана информация, касающаяся самого сервера (общий статус сервере, запущенные процессы, актуальные время и дату, версии и даты установки ПО, переключение между активным и резервным сервером в случае наличия резервного сервера)
Отдельным пунктом следует отметить пункт Shutdown Server. Данный пункт позволяет как выключить сервер, так и перегрузить его. Так как в основном подключение к серверу осуществляется удаленно, то с этим пунктом надо быть очень аккуратным, иначе придется искать физический доступ к серверу для его включения. Если перезагрузка сервера происходит НЕ в экстренном случае, то рекомендуется выполнять её с ожиданием завершения всех запущенных процессов.
Server Configuration – в данной группе собраны настройки самого сервера. Настройки в данном пункте зависят от того, как был проинсталлирован сам сервер (основной или локальный (LSP) сервер).
Server Role – если сервер был проинсталлирован как основной сервер, то указывается тип сервера (основной или выживающий (ESS)), идентификаторы системы и модуля и настройки для памяти (Small, Medium, Large)
В случае выбора при инсталляции роли локального выживающего процессора настройки роли будут другие. Тут придется указать адреса основного сервера для регистрации, сервера для синхронизации и серийный номер шлюза, где установлен данный сервер СМ.
Network Configuration – указываем сетевые настройки, такие как адреса сетевых интерфейсов, DNS-серверов, шлюзов, имена серверов и альясы к ним.
Static Routes – указываем необходимые специальные направления для отправки информации для работы сервера по сети.
Display Configuration – показывает информацию по «физическим» характеристикам сервера – память, количество и тип процессоров, размер «жестких» дисков.
Server Upgrade – раздел, посвященный проведению обновлений ПО, установленного на сервер. На «больших» серверах, есть дополнительный пункт по подготовительным шагам, который блокирует сохранение и синхронизацию данный до тех пор, пока процесс обновления не будет завершен.
Ещё одним важным пунктом является Data Backup/Restore:
Backup Now – позволяет выполнить разовое сохранение выбранных данных. Необходимо выбрать сохраняемые данные, выбрать метод сохранения (scp, ftp или sftp) и ввести учетные данные для подключения к серверу, куда будет произведено сохранение.
После заполнения всех необходимых данных нажимаем Start и ждем завершения операции.
После завершения Backup будет выведен результат:
Backup History – показывает выполненные ранее сохранения. Можно посмотреть статус по каждому представленному тут сохранению.
Schedule Backup – предназначен для настройки автоматического выполнения сохранений. Настройки такие же, как и в случае выполнения одноразового сохранения, но к ним добавляется возможность указать день недели и время для запуска сохранения. На системе, которая находится в более-менее статическом состоянии (т.е. нет больших ежедневных изменений, например, абонентской емкости) можно настроить еженедельное сохранение трансляций, а полное сохранение выполнять в ручном режиме, например, раз в месяц.
Backup Logs – показывает информацию по запущенным процессам сохранения с указанием самого процесса, даты и времени запуска, статуса выполнения и полного пути до сохраняемого файла.
View/Restore Data – позволяет восстанавливать ранее сохраненные данные. Указываются данные для подключения, как и для выполнения сохранения. После подключения предлагается выбрать необходимый бекап и выполнить восстановление.
Restore History – журнал восстановления, аналогичный журналу сохранения.
Security – раздел, посвященный безопасности. В нем создаются пользователи для управления, меняются и обнуляются пароли для существующих учетных записей, настраивается доступ к серверу, устанавливаются сертификаты безопасности и так далее.
Administrator Account – позволяет создавать, изменять пользователей с различными приоритетами, блокировать, разблокировать или удалять учетные записи.
Login Account Policy – указываются параметры для безопасного создания и использования парольного доступа такие как минимальная длина пароля, использование в пароле заглавных и строчных букв, цифр и специальных символов, количество использованных предыдущих паролей, количество символов, отличающихся в создаваемом пароле от предыдущего, время бездействия пользователя, по истечение которого будет произведен автовыход, количество неправильных попыток входа, время блокировки после неправильного ввода пароля, срок действия пароля, время напоминания об окончании действия пароля.
Change password – смена пароля для ТЕКУЩЕГО пользователя.
Login Report – позволяет получать при помощи настраиваемых фильтров различные сведения о подключенных пользователях, неудачных или удачных попыток входа, конкретной учетной записи и так далее.
Server Access – позволяет настраивать удаленный доступ к серверу. Рекомендуется выключать доступ по Telnet для обеспечения более безопасного подключения
Syslog Server – позволяет настраивать внешний Syslog сервера и делать выбор данных, отправляемых на него
Firewall – показывает текущее состояние встроенного firewall и сработок по правилам.
Дальше идут пункты, позволяющие работать с сертификатами – установка новых, просмотр уже установленных, настройка порогов для уведомления об окончании сроков действия, формирования запроса на генерацию нового сертификата и SSH ключи для проверки.
Web Access Mask – настройка профиля подключений для доступа через Web. В системе есть профили, которые имеют настройки по умолчанию для доступа и настройку сервера через web-браузер. Если создается новый профиль, то для работы через браузер этому профилю надо определить права доступа.
Miscellaneous – в данном разделе представлены остальные инструменты
File synchronization – просмотр статуса синхронизации файлов между основными и резервными серверами.
Download Files – позволяет закачивать на сервер необходимые файлы, в том числе и сертификаты для установки.
CM Phone Message File – файлы для поддержки Unicode на телефонных аппаратах.
DNS спуфинг (spoofing), так же известный как отравление DNS кэша (cache poisoning), вид атаки, когда DNS кэш заполняется поддельными данными, в результате чего пользователь перенаправляется на вредоносный сайт.
Отравление DNS-кэша является результатом уязвимостей, которые позволяют преступникам отправлять поддельные DNS-ответы, которые серверы доменных имен (DNS - Domain Name Server) сохраняют в своих кэшах.
Обычно скомпрометированная запись перенаправляет пользователя на поддельный веб-сайт, который злоумышленники используют для совершения преступных действий, таких как распространение вредоносных программ или кража реквизитов кредитных карт, паролей, финансовых данных или другой конфиденциальной и частной информации.
При отравлении DNS-кэша сервер кэша DNS сохраняет нелегитимный адрес, предоставленный злоумышленником, а затем выдает его пользователям, запрашивающим подлинный веб-сайт. В большинстве случаев он может выглядеть аналогично аутентичному веб-сайту, поэтому посетителям становится сложнее отличить поддельный сайт от настоящего.
Влияние отравления DNS-кэша
DNS спуфинг, обычно трудно обнаружить и может оказать большое негативное влияние, особенно для популярных веб-сайтов или веб-приложений со большим количеством посещений или зарегистрированными пользователями. Это представляет большой риск, особенно в некоторых чувствительных отраслях, таких как банковская, медицинская, онлайн-ритейл, электронная коммерция и другие.
Например, предполагается, что злоумышленникам удается изменить DNS-записи и IP-адреса для Amazon. Затем они направляют запрос на другой сервер с поддельным IP, который контролируют или принадлежит злоумышленникам. Любой человек, пытающийся получить доступ к подлинному сайту Amazon, будет перенаправлен на неправильный адрес, который может содержать вредоносные программы для кражи конфиденциальной информации.
Кроме веб-сайтов, злоумышленник может вставить поддельный адрес для сервера электронной почты или других веб-приложений, таких как банковские приложения.
Поскольку изменения в DNS регулярно распространяются с одного сервера на другой, отравленный кэш может распространяться на другие DNS-серверы и системы, что приводит к большому ущербу. Например, поддельная запись может быстро распространяться на другие машины, такие как DNS-серверы Интернет-провайдеров, которые затем будут хранить ее в своем кэше. Отсюда он распространяется дальше на оборудования пользователей, такое как браузеры, мобильные телефоны и маршрутизаторы, которые также будут хранить поддельную запись в своих кэшах.
Как работает атака отравление DNS-кэша?
Преступники могут отравить кэш DNS с помощью различных методик.
Во время обычных операций DNS-запросы хранятся или кэшируются в базе данных, которую пользователи веб-сайтов могут запрашивать в режиме реального времени. Как правило, база данных DNS содержит список имен Интернета и соответствующих IP-адресов. И это облегчает поиск и доступ к веб-сайтам с использованием имен в отличие от IP-адресов, что может быть очень сложным и запутанным.
Например, без системы DNS пользователям потребуется запомнить строку чисел, составляющих IP-адреса для всех веб-сайтов, которые они хотят посетить.
К сожалению, DNS имеет несколько недостатков в безопасности, которые злоумышленники могут использовать и вставлять в систему поддельные записи адресов интернет-домена. Обычно преступники отправляют на DNS-сервер поддельные ответы. Затем сервер отвечает пользователю, сделавшему запрос, и одновременно законные серверы кэшируют поддельную запись. Как только сервер кэша DNS сохранит поддельную запись, все последующие запросы на скомпрометированную запись получат адрес сервера, управляемого злоумышленником.
Отравление DNS-кэша в целом состоит из внедрения поврежденных записей в базу данных кэша сервера имен, и злоумышленники используют различные методы. К ним относятся:
Когда пользователь веб-сайта или веб-приложения отправляет запрос на определенный домен через браузер или онлайн-приложение, DNS-сервер сначала проверяет, существует ли запись в кэше. Если он не сохранен, он запросит информацию у авторитетных DNS-серверов, а затем ждет ответа. В течение некоторого времени злоумышленники будут использовать этот узкий период ожидания, временно брать на себя роль исходного DNS и выдавать поддельный ответ до того, как авторитетный сервер отправит подлинный адрес. Однако, поскольку период ожидания обычно очень короткий, показатель успеха очень низкий.
Другой способ включает отправку поддельных ответов от DNS-сервера, олицетворяющего легитимный. Поскольку проверка DNS обычно не выполняется, злоумышленники могут подделать ответ от DNS-распознавателя по мере запроса сервера имен. Это также становится возможным благодаря тому, что DNS-серверы используют протокол пользовательских датаграмм (UDP) вместо TCP. Обычно связь DNS небезопасна из-за незашифрованной информации в пакетах UDP и отсутствия аутентификации. Это облегчает злоумышленникам вставлять в ответы поддельные адреса.
Уязвимости DNS используемые злоумышленниками
Уязвимости безопасности в определенных веб-приложениях, а также отсутствие надлежащей аутентификации DNS-записей позволяют киберпреступникам легко скомпрометировать ответы DNS и остаться незамеченными. Некоторые из этих уязвимостей включают в себя:
Отсутствие проверки и валидации
DNS имеет первую структуру доверия, которая не требует проверки IP-адреса для подтверждения его подлинности перед отправкой ответа. Поскольку DNS-распознаватели не проверяют данные в кэше, там остается неверная запись, пока она не будет удалена вручную или не истечет срок действия TTL.
Уязвимость рекурсивного DNS-сервера
Когда рекурсивный запрос активен, DNS-сервер получает запрос и выполняет всю работу по поиску правильного адреса и отправке ответа пользователю. Если у него нет записи в кэше, он будет запрашивать ее у других DNS-серверов от имени клиента, пока не получит адрес и не вернет его пользователю. Включение рекурсивного запроса представляет уязвимость безопасности, которую злоумышленники могут использовать для отравления кэша DNS.
Поскольку сервер ищет адрес, он предоставляет злоумышленнику возможность перехватить трафик и предоставить поддельный ответ. Затем рекурсивный DNS-сервер отправит ответ пользователю и одновременном сохранит поддельный IP-адрес в кэше.
Отсутствие шифрования
Как правило, протокол DNS не зашифрован, и это облегчает злоумышленникам перехват его трафика. Кроме того, серверы не должны проверять IP-адреса, на которые они направляют трафик, следовательно, они не могут определить, является ли он подлинным или поддельным.
Как предотвратить DNS спуфинг?
Мониторинг данных DNS в реальном времени может помочь установить наличие в трафике необычных шаблонов, действий пользователей или поведения, таких как посещение вредоносных веб-сайтов. И хотя обнаружение отравления DNS-кэшем затруднено, существует несколько мер безопасности, и компании и поставщики услуг могут принять меры, чтобы предотвратить это. Некоторые из мер, предотвращающих отравление DNS-кэша, включают использование DNSSEC, отключение рекурсивных запросов и многое другое.
Предельный уровень отношений доверия
Одной из уязвимостей DNS-транзакций являются отношения высокого доверия между различными DNS-серверами. Это означает, что серверы не проверяют подлинность получаемых ими записей, что позволяет злоумышленникам даже отправлять поддельные ответы со своих нелегитимных серверов.
Чтобы злоумышленники не использовали этот недостаток, группы безопасности должны ограничить уровень доверительных отношений, которые имеют их DNS-серверы с другими. Настройка DNS-серверов таким образом, чтобы они не опирались на доверительные отношения с другими DNS-серверами, затрудняет использование киберпреступниками DNS-сервера для компрометации записей на законных серверах.
Существует множество инструментов для проверки наличия угроз безопасности DNS.
Использование протокола DNSSEC
Расширения безопасности системы доменных имен (DNSSEC - Domain Name System Security Extensions) используют криптографию с открытым ключом для подписи DNS-записей, поэтому они добавляют функцию проверки и позволяют системам определять, является ли адрес законным или нет. Это помогает проверять и аутентифицировать подлинность запросов и ответов и тем самым предотвращать подделку.
При обычной работе протокол DNSSEC связывает уникальную криптографическую подпись с другой информацией DNS, такой как записи CNAME и A. Затем DNS-распознаватель использует эту подпись для проверки подлинности DNS-ответа перед отправкой его пользователю.
Подписи безопасности гарантируют, что ответы на запросы, которые получают пользователи, проверяются законным исходным сервером. Хотя DNSSEC может предотвратить отравление кэша DNS, он имеет такие недостатки, как сложное развертывание, предоставление данных и уязвимость перечисления зон в более ранних версиях.
Не уверены, что в вашем домене включен DNSSEC? Немедленно проверьте с помощью инструмента DNSSEC Test.
Используйте последние версии программного обеспечения DNS и BIND (Berkeley Internet Name Domain)
BIND версии 9.5.0 или выше обычно имеет расширенные функции безопасности, такие как криптографически безопасные идентификаторы транзакций и рандомизация портов, что помогает минимизировать отравление DNS-кэша. Кроме того, ИТ-специалисты должны поддерживать программное обеспечение DNS в актуальном состоянии и гарантировать, что оно является самой последней и безопасной версией.
Помимо вышеизложенного, ниже приведены другие эффективные способы или практики предотвращения отравления DNS-кэшем.
Настройка DNS-сервера для ответа только информацией, относящейся к запрошенному домену
Убедитесь, что на сервере кэша хранятся только данные, относящиеся к запрошенному домену
Принудительно использовать сети IP для всего трафика
Отключить функцию рекурсивных запросов DNS
Заключение
Отравление кэш-памяти DNS приводит к перенаправлению пользователей домена на вредоносные адреса. Некоторые серверы, управляемые злоумышленниками, могут обманывать ничего не подозревающих пользователей, которые загружают вредоносные программы или предоставляют пароли, информацию о кредитных картах и другие конфиденциальные личные данные. Для предотвращения этого важно использовать передовые методы обеспечения безопасности.