Пол Викси предлагает использовать концепцию DNSBL для борьбы с мошенниками
Пол Викси (Paul Vixie), основатель и глава Internet Software Consortium, разработчик DNS-сервера BIND, а также ряда других программ (vixie-cron, rtty, proxynet, SENDS), опубликовал в своем блоге предложение расширить область применения подхода, используемого в технологии DNS blacklist.DNS blacklist (DNSBL) — технология борьбы со спамом, позволяющая почтовым серверам проверять IP-адреса хостов, от которых они получают почту. Когда хост-отправитель обращается к почтовому серверу, тот выполняет запрос на разрешение доменного имени, состоящего из записанного задом наперед адреса отправителя и доменного имени используемого DNSBL-сервера (например, 220.206.60.71.bl.spamcop.net — для проверки адреса 71.60.206.220 в блэк-листе spamcop.net). Если запрос возвращает корректный результат (имя разрешается в некоторый произвольный IP-адрес), почтовый сервер отвергает почту от такого отправителя. В зависимости от настроек почтового сервера, он может проверять адреса отправителей по одному или нескольким DNSBL. Сформировать собственный DNSBL может практически каждый — для этого достаточно собственного DNS(BL)-сервера с возможностью доступа извне (внешним IP-адресом), и собственного доменного имени. Однако популярностью пользуются главным образом те списки, которые содержат много адресов и часто обновляются. Также важную роль играет репутация человека или организации, выполняющих сопровождение списков. Таким образом, DNSBL образует распределенную, полностью децентрализованную сеть со свободным членством. Изначальный прототип DNSBL, называвшийся RBL, был создан в 1998 году Полом Викси.
Сейчас, в 2010 году, Викси предлагает использовать аналогичный принцип для проверки репутации доменных имен. «Каждый день, — пишет Викси, — в мире регистрируется множество доменных имен, и большинство из них попадают в собственность спамерам и интернет-мошенникам.» Предлагаемая технология — Response Policy Zones (DNS RPZ) — позволит рекурсивным DNS-резолверам выполнять проверки разрешаемых доменных имен аналогично тому, как почтовые сервера проверяют IP-адреса отправителей через DNSBL. Впервые эта технология была анонсирована 29 июля на конференции BlackHat, и затем 30 июля на DefCon. Черновое описание технологии представлено здесь. Уже подготовлены патчи для DNS-сервера BIND версий 9.7.1, 9.6 и 9.4, реализующие эту технологию. Кроме того, в течение ближайших месяцев ее поддержку планируется добавить в BIND 9.7.3. Викси отмечает, что никаких изменений, нарушающих обратную совместимость, вноситься не будет.
Как и в случае в DNSBL, система DNS RPZ будет полностью децентрализованной. В задачу ISC входит лишь поддержка самой технологии, дающей возможность «хорошим парням» консолидированно противодействовать проискам «плохих парней».
© OpenNet
