Протокол TFTP

Как и FTP, данная служба должна быть всегда отключена в брандмауэре. С помощью протокола Trivial FTP (Тривиальный FTP) обычно загружаются исправления или другие программы в сетевые устройства, такие как маршрутизаторы. В отличие от FTP, TFTP не требует задания имени пользователя или пароля! Отключите эту службу!

Протокол DNS

Система доменных имен (Domain Name System, DNS) создавалась для централизованного внесения изменений в таблицы соответствия доменных имен сетевым адресам, а также для автоматизации трансляции адресов. Вначале за поддержку файла HOSTS,•coдepжaвшeгo имена и адреса всех компьютеров в Internet, отвечала одна организация (SRI NIC в Stanford Research Institute). Администраторам приходилось сообщать в SRI NIC о внесенных изменениях, которые затем отражались в этом файле. Затем обновленную версию файла нужно было рассылать по всем компьютерам.

новые «дыры безопасности» и даже скрыть свое присутствие от обычных системных утилит;

О если хакер уже проник в вашу систему, узнав пароль и имя пользователя, он может похитить доступные ему файлы. Защита данных в этом случае будет обеспечиваться только средствами операционной системы;

О довольно серьезные неприятности нередко доставляет просто загрузка больших файлов, пока они не займут все свободное дисковое пространство. Некоторые операционные системы аварийно завершают работу, когда заканчивается свободное место на системном диске. В любом случае не исключено, что очистка диска потребует от вас массы усилий. Некоторые службы, такие как анонимный FTP, допускают такую настройку, при которой загружаемые файлы сохраняются не на системном диске. Это предотвратит аварийное завершение работы системы при переполнении диска, однако сама служба анонимного FTP при этом прекратит работу.

Так же, как и Telnet, FTP обычно проверяет пароль и имя пользователя удаленной системы. Но в отличие от Telnet, применение которого требует знания хакером устройства системы, FTP не работает с системой команд операционной системы. Вместо этого употребляются стандартные команды FTP, такие как СЕТ и PUT, и если вы сумели войти в систему при помощи FTP, вероятность того, что вам удастся сделать почти все, что угодно, достаточно велика.

С помощью анонимного FTP часто разрешается свободный доступ к специально предназначенному для этого серверу. При входе на подобный сервер используется имя пользователя anonymous. Паролем обычно бывает адрес электронной почты, чтобы сервер мог вести журнал посетителей сайта. Но это просто стандартный прием, и адреса не обязательно должны совпадать с записями в базе данных клиентов.

Одна из первых реализаций DNS была разработана в университете Berkeley для операционной системы BSD UNIX (версии 4.3). Поэтому можно часто услышать термин BIND (Berkeley Internet Name Domain - доменное имя Internet Berkeley) вместо DNS. Co временем в BIND было обнаружено множество уязвимых мест. Убедитесь, что на вашем компьютере установлена самая новая версия, и следите за сообщениями о появлении новых «дыр безопасности», чтобы служба DNS не стала «черным входом» в вашу сеть. Еще лучше реализовать собственный сервер DNS, и тогда сеть не будет подвергаться опасности, связанной с возможностью его обновления снаружи.

DNS использует иерархическую архитектуру, распределенную по множеству компьютеров Internet. В корневой сервер включена информация о доменах верхнего уровня (таких как .сот, . edu и .gov), а каждый домен имеет собственный сервер DNS, отвечающий за имена и адреса компьютеров в домене. Когда клиентскому компьютеру нужно узнать IP-адрес другого устройства, он запрашивает сервер DNS. Если локальному серверу DNS известен ответ на запрос, он возвращает его клиентскому компьютеру. В противном случае запрос посылается вверх по цепочке DNS серверов до тех пор, пока не найдется DNS-сервер, способный сделать это.

В главе 6 описано несколько методов создания подобного устройства.

Самая верхняя запись в иерархии DNS называется корневым доменом (root domain) и обозначается точкой (.). Ниже находятся домены верхнего уровня, разделенные на две группы: географические и организационные. Географические домены служат для обозначения определенных стран. Например, домен . аи обозначает Австралию, а .ик- Великобританию. К организационным относятся следующие домены:

О com - коммерческие организации;

О edu - образовательные учреждения;

О gov - правительственные учреждения США;

О mil - военные организации США;

О int - международные организации;

О net - сетевые организации, такие как провайдеры Internet; О org - некоммерческие организации;

О агра - применяется для обратного поиска (имени по адресу).

Структура системы DNS похожа на перевернутое дерево (рис. 2.5). На вершине дерева находится корневой домен, под которым расположены организационные домены. Ниже домена com лежат отдельные коммерческие организации, каждая из которых имеет собственный домен, иногда, в свою очередь, содержащий домены более низкого уровня.

Рис. 2.5

Система DNS имеет распределенную иерархическую структуру

На каждом уровне полное доменное имя (Fully Qualified Domain Name, FQDN) складывается из локального имени и имен вышележащих элементов иерархии. Таким образом, имя msdn .microsoft. com обозначает домен компании Microsoft, ко-торьш находится в домене com. Благодаря FQDN множество компьютеров могут иметь одинаковые имена, если они находятся в разных доменах. Например, сервер fileserver.twoinc.com нельзя спутать с fileserver.acme.com.

На имена, которые разрешается использовать в системе DNS, налагается ряд ограничени14:

О максимальная длина доменного имени или имени компьютера не должна

превышать 63 символов; О максимальная длина полного доменного имени не может быть больше 255

символов;

О на каждом уровне существует не более 127 доменов; О все имена нечувствительны к регистру.

Первичные, вторичные и кэширующие серверы имен

Для каждого домена Internet необходимо задать первичный и вторичный сервер DNS. Первичный сервер DNS содержит набор записей о ресурсах (resomce records), сопоставляющих именам компьютеров в домене их адреса. Вторичный сервер DNS содержит копию базы данных первого сервера и способен продолжать обслуживать запросы после отказа первичного сервера. Важно отметить, что изменения в базу данных вносятся только на первичном сервере DNS. Данные на вторичные серверы копируются при помощи механизма, переноса зоны (zone transfer).

Во многих случаях сервер DNS отвечает и на запросы с именами других доменов. Для этого он связывается с серверами более высокого уровня до тех пор, пока не найдется сервер, который сумеет преобразовать имя в адрес или указать на другой сервер DNS, отвечающий за нужный домен. Сервер DNS кэширует имена, чтобы не нужно было постоянно запрашивать их у других серверов.

Третий тип серверов DNS - это только кэширующие (caching-only) серверы. Серверы такого Tvma не строят базу данных для определенной зоны. Другими словами, они не отвечают ни за одну зону или домен и не пользуются механизмом переноса зоны, чтобы поддерживать копии базы данных. Вместо этого для