rfc1034で指定されているクラシックDNSは、遅延のみをキックしません。 非常に効率が高いため、実際には保護されておらず、攻撃者は中間キャッシュサーバーのDNS回答を偽装してトラフィックを偽サイトに転送できます(キャッシュポイズニング)。 どういうわけか、httpsは、サイトのなりすましを検出できるSSL証明書を使用してこの惨劇に苦しんでいます。 ただし、ユーザーは通常SSLの内容をまったく理解していないため、自動的に「続行」をクリックして証明書の違反を警告します。その結果、 金銭的に苦しむことがあります。
DNSキャッシュのポイズニングとトラフィックの傍受の不名誉を何らかの形で止めるために、 DNSSECが発明されました。これは、従来のDNSのセキュリティアドオンであり、現在ICANNによって制御され、インターネット上で実装されています。 率直に言って、実装プロセスはそれほど速くはありません。大企業やその他の組織の多くは、現代の課題を公然と無視しています。GoogleやYandexのようなITの巨人でさえ、ドメインゾーンのデジタル署名はありません。 そして、すべてを気遣う有能な同志も、こちら側で身を守るために急いでいません 。 そして、すべてを本当に気にしている有能な紳士だけが、 すべてが秩序だったのです。 まあ、また実際にDNSSECの実装に携わっている組織、たとえばverteiltesysteme.netでも 。 これまでのところ、トップレベルドメイン(TLD)の10% がDNSSEC署名を持たない場合、一部の組織について私たちは何を言うことができます !
なぜ大量破壊工作と呼ばれる状況が発生したのですか? 実際、DNSSECテクノロジーは無料で、長年にわたって広く利用可能です! これにはいくつかの理由があります。
- セキュリティは強力です。 このトピックは平均的なシステム管理者にとって複雑であり、彼はそれを混乱させないことを好みます。 結局のところ、DNSSECドメインゾーンは作成するだけでなく、定期的に維持する必要があります(更新されたキーなど)。
- 人間の楽観主義:私たちには何も起こらず、すべてがうまくいきます。 問題は私たちにありません。 したがって、何もする必要はありません。 信じられない? 次に、埋め戻しの質問:家に消火器はありますか?
- 非常に優れた代替保護がhttps / sslによって提供されます。これは、ユーザーの偽サイトへの転送を適切に診断します。 別のことは、ユーザーは通常、対応する警告を無視することです。
- DNSSECは、見知らぬ人によるキャッシュポイズニングからのみ保護します。 キャッシュ、ドメインゾーンサーバー、またはドメインレジストラーからプロバイダーのサーバーを攻撃者による侵害から保護しません。 ところで、後者がblockchain.infoドメインのキャプチャにつながったのです。
- DNSSECを使用すると、DNSサブシステムのパフォーマンスが約5倍低下し、従来のDNSよりも多くのネットワークおよびコンピューティングリソースが必要になります。
したがって、DNSSECは従来のDNSよりも安全ですが、それでも緩和的であり、データの信頼性の問題を完全に解決するわけではありません-すべての管理者が突然ハードワークでフラッシュし、期待どおりにすべてを実行したとしてもです。 さらに、緩和には費用がかかります。インターネットの実際の速度が依存するメインサブシステムのパフォーマンスが5倍低下することは冗談ではありません。
また、分散クラシックDNSおよびその後続DNSSECでのドメイン検索がユーザーの要求時に発生するという事実にも注意を払いましょう。 つまり、ユーザーがデータを転送するためにコンピューティングリソースとネットワークリソースを最も必要とする場合であり、誰がxyであるかを見つけたり、対応する署名を検証したりする必要はありません。 したがって、キャッシュの更新やその他のDNS作業は、ユーザーが自分のページを必要とする最も「高価な」時間に行われ、「内部の」内部作業は行われません。 ネットワークが正常に機能するためには、関係するすべてのDNSサーバーが「正常」であり、正常に機能する必要があることは明らかです。 一部の中間サーバーに障害が発生した場合、ネットワークセグメント全体が「脱落」します。これは時々 観察されます。
ここで検討する従来のDNSとDNSSECの両方に代わるものは、ブロックチェーンテクノロジー上に構築されたEmerDNSです。 階層DNS / DNSSECとは異なり、EmerDNSは、ドメインレジストラー、ドメインゾーンホルダー、および中間キャッシュを除外するピアツーピア「フラット」ネットワークです。 そして、何もないので、何も妥協することはありません。 このシステムでは、各EmerDNSノードは完全なブロックチェーン、つまり名前と他のトランザクションのデータベース全体を保持しています。 また、データの信頼性(すべての人に同じであるという事実)は、ブロックチェーンテクノロジー自体とPOS + POWマイナーのパブリックコンセンサスによって提供されます。 後者は、システム開発者を含む誰にとっても「ゴッドモード」が存在しないことを保証します。 私たちも他の誰も、任意のエントリを自発的にキャンセルまたは変更することはできません。 エントリは所有者のみが更新でき、他のユーザーは更新できません。 ある意味で、EmerDNSは、既知のすべてのサイトの記録があるhostsファイルに似ています。 しかし、ホストとは異なり:
- EmerDNSの各行は、所有者のみが変更でき、他のユーザーは変更できません。
- 「神の介入(スーパー管理者)」が不可能であることは、鉱夫のコンセンサスによって保証されています。
- このファイルは、ブロックチェーンレプリケーションメカニズムによって提供されるすべてのユーザーに共通です。
- クイック検索エンジンがファイルに添付されます。
このデータベースへの更新は、プッシュテクノロジーを使用して、新しいブロックの出現時にユーザーの要求とは非同期に行われます。 つまり、ユーザーが特定のWebサイトにアクセスすることを決定した時点で、現在および検証済みのすべてのDNSレコードは事前にインデックス化されたデータベースに既にローカルに配置され、ドメイン名のアドレスへの変換はクエリ(特に再帰的)なしでローカルに実行されますまたは外部リソース。 このアプローチにより、EmerDNSは非常に高速になります。 さらに、ドメイン名を解決する時点では、インターネット上のDNSサーバーが「正常」である必要はまったくありません。
このアーキテクチャアプローチにより、EmerDNSは非常に高速で安全かつフォールトトレラントになります。 このアーキテクチャの欠点は、各ノードにブロックチェーンのコピーを保持する必要があることです。 また、ドメインに関する情報だけでなく、トランザクション、および一般に他のすべてがこのデータベースに貢献したすべてのものもあります。 しかし、ディスクドライブの現在の価格と容量では、数百ギガバイトでも一般ユーザーにとって高価なものに見えない場合、これは速度とセキュリティにとって非常にリーズナブルな価格です。 さらに、Emerブロックチェーンの重量は300 mb以下です。
このようなシステムのもう1つの欠点は、ドメインレコードに関する情報の更新ごとに一定量のEmercoinsをシステムに支払う必要があることです。 しかし、現在の価格(レコードの作成で約0.1ドル、更新で0.01ドル)では、ドメインレジストラで名前を保持するよりも何倍も安くなっています(年間約10ドル)。 実際、同じ10ドルで、1年に1日3つの更新を現在の価格で購入できます。
さまざまなDNSシステムの違いを次の表にまとめています。
EmerDNSシステムが存在し、2014年以来着実に機能しています。 それを使用するための詳細な手順は、 Emercoin wikiに記載されてい ます 。
高いフォールトトレランスとシステムセキュリティにより、所有者はRosKomNadzorによってブロックされたサイトをEmerDNSドメインゾーンに転送しました。 詳細については、 記事を参照してください 。
MaximaとPornolabのサイトは、 OpenNICを介してシステムに接続する方法について、クライアントにロシア語の指示を提供します。 クライアントアクセスは、 PeernameおよびFri-Gateのブラウザプラグインによっても提供されます。
OpenNICまたは他の外部サーバーを使用している場合でも、ユーザーリクエストを傍受して置き換えることができることは明らかです。 また、理論的には、OpenNIC DNSゲートウェイ自体を危険にさらすと問題が発生する場合があります。 したがって、最も安全なオプションは、EmerDNSのゲートウェイが信頼できるネットワーク(ローカル、ホーム、企業)に展開され、ブロックチェーンのみを保持し、すべてのユーザーが軽量DNSクエリを使用して通常の方法でアクセスする場合です。 このアーキテクチャにより、ユーザーは高い信頼性とセキュリティを得ることができ、各コンピューターでブロックチェーンを維持する必要はありません。 Wikiの記事には、このようなサーバーを最も一般的なプロキシDNSサーバーであるBINDおよびDNSMASQで構成する方法の例が記載されています。
EmerDNSの詳細については、 この記事を参照してください 。
Emercoinの詳細については、ブログまたはCryptorをご覧ください 。