Проблемы достоверности в DNS существуют не только на уровне взаимодействия между конечными пользователями и провайдерами. Обману и успешным хакерским атакам подвержены и сами провайдеры разных уровней, владеющие DNS-серверами. Протоколы DNS подразумевают обмен информацией об адресации между серверами DNS, а эта информация тоже может стать объектом атаки злоумышленников. В результате адресные данные будут изменены, а владельцы DNS-серверов об этом могут и не узнать.

Более того, атаки, использующие собственно DNS, могут служить базой для проведения сложных многоступенчатых атак по вторжению в различные защищённые компьютерные сети. Оказывается, для того, чтобы использовать уязвимости протоколов DNS, хакерам вовсе не обязательно контролировать точку подключения в той сети, в которой работает атакуемая система. Напротив, глобальная DNS позволяет и атаки проводить в глобальном масштабе.

Иными словами, DNS крайне важна и совсем не защищена.

Нельзя сказать, что специалисты только недавно узнали о фундаментальных уязвимостях в DNS. Это не так. Наоборот, то, что доменная система имён не имеет механизмов защиты от атак, специалистам известно очень давно, многие годы. Поэтому не стоит слишком всерьёз воспринимать шумиху в околокомпьютерной прессе, разгорающуюся каждый раз, как тот или иной аналитик публикует сообщение о новой глобальной уязвимости. Да, свеженайденные уязвимости действительно существуют и весьма важны. Нужно только понимать, что все они представляют собой лишь конкретные практические реализации атак, подтверждающие верность старых теоретических выкладок, описывающих наличие соответствующих дыр в протоколах. Собственно, сами специалисты по компьютерной безопасности, сообщившие об обнаружении нашумевших в прессе уязвимостей, сразу оговаривали, что речь идет о воплощении давно известных фундаментальных дефектов.

Время пришло ?

Попытки сделать DNS защищённой системой предпринимались чуть ли не сразу после широкого распространения этой системы в глобальной Сети. Однако для того, чтобы приблизиться к практической реализации защиты, потребовалось совпадение сразу нескольких факторов, потому что одного лишь желания «теоретиков» DNS не хватало.

С одной стороны, атаки на основе уязвимостей DNS, так сказать, нагуляли серьёзный вес, приобрели масштаб и стали создавать заметные имиджевые проблемы интернет-провайдерам, крупным телекоммуникационным компаниям и структурам, управляющим интернетом. Надо заметить, что наивно было бы полагать, будто забота о безопасности конечных пользователей, увлекаемых мошенниками в сети фишинга, - это всегда первоочередная проблема интернет-провайдеров или телекоммуникационных компаний вообще. К сожалению, для коммерческих компаний (а интернет-провайдеры - компании коммерческие) безопасность пользователей становится сколько-нибудь приоритетной лишь с того момента, как провайдер начинает терять на этой безопасности деньги. Общественные организации и объединения, связанные с управлением интернетом, конечно, готовы больше внимания уделять защите рядового веб-путешественника. Но что они могут без поддержки провайдеров?

С другой стороны, появились надежды, что будет закупаться новое оборудование, позволяющее реализовать защиту в DNS. Дело в том, что функции защиты (тут потребуется криптография, о которой мы поговорим чуть ниже) не только подразумевают осуществление множества достаточно сложных по сравнению с классической DNS вычислительных операций, но и потребуют увеличения объёмов сетевого трафика, приходящегося на DNS-сообщения. Возросшая нагрузка требует увеличения вычислительной мощности узлов DNS и некоторых других компьютеров, входящих в состав интернета. То есть придётся закупать новые серверы, новые маршрутизаторы и так далее. Впрочем, в последние годы стоимость подобного оборудования в пересчёте на производительность заметно снижается, так что надежда на финансирование закупок есть.

Итак, сейчас образовался довольно благодатный фон для того, чтобы осуществить превращение DNS, о необходимости которого так долго твердили.