DNS – ценный источник информации о сайтах и доменах

8 сентября 2020

Второй день конференции TLDCON открылся секцией «Аналитические исследования в интернете с использованием системы DNS».

Провели секцию двое соведущих: Елена Воронина, генеральный директор MSK-IX, и Алексей Рогдев, генеральный директор ТЦИ. В секции также приняли участие Алан Дюран (ICANN), Алексей Лукацкий (Cisco), Павел Храмцов (MSK-IX), Куок-Ань Фам (GoDaddy Registry) и Александр Венедюхин («Технический центр Интернет»).

Елена Воронина начала секцию словами о важности аналитики DNS, так как это безопасность. «Если системы безопасности работают на должном уровне, то пользователи просто этого не замечают», – сказала она.

Алексей Лукацкий (Cisco) начал выступление с примеров реальных вредоносных доменов и программ. Алексей обратил внимание слушателей на то, что DNS позволяет получить гораздо больше данных, чем другие сервисы. Например, можно определить, кто именно создал домен: робот или человек; можно получить данные припаркованных доменов и контакты владельца или регистратора. «Вредоносные ресурсы, как правило, получают услуги хостинга в одних и тех же системах. Аналитика позволяет выявлять связку между вредоносными доменами – анализ взаимосвязи между автономными системами и их владельцами», – сказал Алексей. Он отметил, что все фишинговые домены направлены на желание людей сэкономить или заработать – и DNS превращается в ценный источник информации о злоумышленниках.

Алан Дюран (ICANN) рассказал о том, как выявляют злоумышленников в ICANN с помощью специально разработанных программ и компаний-партнеров, которые помогают собирать данные о злоумышленниках. «Мы может предоставить программный продукт для сбора данных, что поможет сообществу всего мира в борьбе с вредоносными сайтами, – сказал Алан. – У этого проекта неплохие достижения, и мы сейчас ищем партнеров, чтобы такая работа велась максимально эффективно».

Павел Храмцов (MSK-IX) подробно рассказал о проекте MSK-IX по аналитике данных: авторитативный DNS – это быстрое, безопасное и надежное облако DNS для доменных зон и интернет-ресурсов. Он сообщил, что сегодня MSK-IX управляет территориально распределенным облаком DNS-серверов для поддержки корневых доменных зон и доменов с повышенными требованиями. Также сеть DNS используется администратором национальных доменов .ru и .рф, администраторами доменов верхнего уровня, госструктурами и компаниями. Этот помогает быть отказоустойчивой архитектуре на аппаратном и сетевом уровнях, вести непрерывный мониторинг, а также проводить регулярные аудиты безопасности и осуществлять защиту от DDoS-атак.

Доклад Куок-Ань Фам (GoDaddy Registry) был посвящён поддержке TLD на разных языках. Он показал слайды о принципах такой работы; самое главное – это получение данных с доменов верхнего уровня для того, чтобы эффективно анализировать трафик. Кроме того, такая работа может показать неправильную конфигурацию сетей – если заранее узнать сервер, – приготовленную для превращения в ботнет. Такие технологии тоже уже существуют.

Завершил секцию Александр Венедюхин («Технический центр Интернет»), он рассказал о способах применения аналитики DNS к разным задачам и проектам.