Система доменних імен: відмінності між версіями
| [неперевірена версія] | [неперевірена версія] |
Вилучено вміст Додано вміст
Alessot (обговорення | внесок) Оформлення, правопис, додано внутрішні посилання |
Alessot (обговорення | внесок) →Інтернаціональні доменні імена: доповнення розділом "Безпека" |
||
Рядок 111:
Доменне ім'я може складатися тільки з обмеженого набору [[ASCII]] символів, дозволяючи набрати адресу домену незалежно від мови користувача. [[ICANN]] затвердив засновану на Punycode систему IDNA, перетворюючи будь-який рядок в кодуванні [[Unicode]] в допустимий DNS набір символів.
== Безпека ==
=== Підміна відповідей ===
Протокол DNS не містить вбудованих засобів, які дозволяють відрізнити відповідь від легітимного сервера від відповіді, надісланої зловмисником. Це дозволяє зловмиснику шляхом підробки відповідей DNS перенаправляти трафік на контрольовані хости. Цей недолік виправляється за допомогою [[DNSSEC]].
=== Використання у DDos-атаках ===
Розмір DNS-запита може бути відносно невеликим (60-70 байтів), тоді як розмір відповідей при неправильній конфігурації сервера може досягати 1000-2000 байт. Зловмисник може підробити IP-адресу відправника у DNS-запиті, замінивши її на IP-адресу хоста, що атакується (хост-жертва). Відповідь на такий підроблений DNS-запит надійде не зловмиснику, а до хоста-жертви. Таким чином, витративши відносно невеликі ресурси, зловмисник може організувати потужну DDoS-атаку. Така техніка називається DNS-ампліфікацією.
== Примітки ==
| |||