DNS, DHCP, NAT, Proxy, VPN

DNS (Domain Name System) – Как DNS получает IP и как его можно атаковать?

DNS переводит доменные имена в IP-адреса. 🔹 Работает через UDP 53 / TCP 53. 🔹 DNS-записи не хранятся в одном месте, они распределены по разным уровням:

Как DNS находит IP? (Пошаговый разбор)

ПК проверяет локальный кэш (если IP уже есть, запрос не отправляется).
Если IP нет, запрос идёт на локальный DNS (провайдера или указанный вручную).
Если он не знает IP, он делает рекурсивный запрос:
- Root DNS ( .) → указывает на TLD-сервер ( .com, .ru).
- TLD DNS ( .com) → указывает на авторитетный DNS домена ( ns1.example.com).
- Авторитетный DNS ( ns1.example.com) → отдаёт реальный IP.
Теперь DNS-клиент кэширует ответ и передаёт его браузеру.

Кэширование DNS: Локальный DNS-сервер кэширует данные на время TTL (от 5 минут до суток). Авторитетный DNS всегда отдаёт актуальный IP. Если кэш отравлен (Cache Poisoning) – все пользователи получат ложный IP.

Как атакуют DNS?

DNS Cache Poisoning – атакующий внедряет ложный IP в кэш DNS-сервера.
DNS Spoofing – перехват DNS-запросов в локальной сети (Wi-Fi, MITM).
DNS Hijacking – изменение DNS на уровне провайдера или на заражённом роутере.

Защита:

DNSSEC – проверяет цифровую подпись записей (защита от подмены).
DNS-over-HTTPS (DoH) / DNS-over-TLS (DoT) – шифруют запросы.
Использовать надёжные DNS (Google 8.8.8.8, Cloudflare 1.1.1.1).

DHCP (Dynamic Host Configuration Protocol) – Автоматическая раздача IP и атаки на DHCP

Автоматически раздаёт IP-адреса, шлюз, DNS и другие параметры в сети. Работает через UDP 67 / UDP 68. DHCP-сервер не хранит постоянные записи – IP раздаются динамически.

Как атакуют DHCP?

DHCP Starvation – атакующий исчерпывает все IP-адреса, отправляя тысячи запросов.
Rogue DHCP Server – поддельный DHCP раздаёт ложные IP, шлюзы, DNS (перенаправление на фейковые сайты).

Защита:

DHCP Snooping – ограничивает доступ к DHCP-серверу, защищает от поддельных серверов.
Фильтрация MAC-адресов – разрешает IP только доверенным устройствам.

NAT (Network Address Translation) – Зачем он нужен и почему сложно подключиться извне?

Позволяет частной сети выходить в интернет через один внешний IP. Работает на маршрутизаторах и переводит частные IP ( 192.168.x.x) в публичные.

Как NAT работает?

Внутренний ПК отправляет запрос в интернет ( 192.168.1.10 → 8.8.8.8).
Маршрутизатор заменяет IP на внешний ( 93.184.216.34 → 8.8.8.8).
Сервер отвечает на внешний IP, а NAT возвращает пакет к нужному устройству внутри сети.

Почему сложно подключиться к устройствам за NAT?

Внешний мир видит только один IP (роутер), а не отдельные устройства.
NAT не пропускает входящие соединения, если не настроен Port Forwarding.

Способы обойти NAT:

Port Forwarding (проброс портов) – вручную указываем, какие порты перенаправлять.
VPN (например, WireGuard) – позволяет подключаться внутрь сети.
UPnP (автоматический проброс портов) – удобен, но небезопасен.

Proxy (Прокси-серверы) – Чем отличаются Forward Proxy и Reverse Proxy?

Прокси – это посредник между клиентом и сервером. Работает на L7 (Прикладный уровень).

Forward Proxy (Прямой прокси)

Как работает:
Клиент → Forward Proxy → Интернет (Google, Facebook)`

Скрывает IP клиента. Может фильтровать контент (блокировка сайтов). Используется для обхода блокировок, анонимности.

Reverse Proxy (Обратный прокси)

Как работает:

Клиенты → Reverse Proxy → Внутренние серверы`

Балансировка нагрузки (распределяет трафик между серверами). Скрывает реальный IP сервера (защита от атак). Используется в Docker для маршрутизации между контейнерами (Nginx, Traefik).

VPN (Virtual Private Network) – Как создаётся безопасное соединение?

Создаёт зашифрованный туннель между устройствами. Используется для обхода блокировок, сокрытия IP, защиты в Wi-Fi.

Как работают разные VPN-протоколы?


Протокол	Уровень OSI	Безопасность
PPTP	L2	Устарел, легко взломать
L2TP/IPsec	L2+L3	Средняя защита
OpenVPN (TLS)	L4	Хороший баланс
WireGuard	L3	Самый быстрый и безопасный

Шифрование VPN защищает данные от перехвата в публичных Wi-Fi. Бесплатные VPN могут записывать логи и продавать данные.