O‘zbekiston respublikasi oliy va o‘rta maxsus taʼlim vazirligi mirzo ulug‘bek nomidagi o‘zbekiston milliy universiteti

Download 7,61 Mb.

Pdf ko'rish

bet	75/165
Sana	05.06.2022
Hajmi	7,61 Mb.
	#638904

1 ... 71 72 73 74 75 76 77 78 ... 165

Bog'liq
Компьютер тармоқлари хавфсизлиги уқув кулланма 2020 uzb18 03 22

10.3.

DNSSec
Dastlab, domen nomlari tizimida javobni ruxsatsiz o‘zgartirishdan himoya
qiladigan mexanizmlar yo‘q edi. DNS da so‘rov ham, javob ham ochiq matn
ko‘rinishida uzatiladi. Bunday holda, faqat so‘rov identifikatori asosida
maʼlumotlarning to‘g‘riligi baholanadi, ushbu identifikator 2 baytni tashkil etadi.
Yaʼni, DNS kesh xotirasini zaharlash uchun 65536 dan ortiq qiymatlarni takrorlash
kerak edi, bu haqda 90-yillarda maʼlum qilingan. Shu uchun DNSSec-ning birinchi
versiyasini taqdim etildi. U 1997 yilda qo‘llanila boshlandi, ikki yil o‘tgach, ikkinchi
versiyasi paydo bo‘ldi. 2005 yilda hozirgacha ishlab turgan DNSSec-ning versiyasi
paydo bo‘ldi.
10.3.1. DNSSec ishlash prinsipi
DNSSec DNS-server maʼlumotlarini haqiqiyligiga ishonch hosil qilish uchun
ularni juft kalitlar yordamida imzolaydi. Hal qiluvchi rolni "ildiz" imzosi o‘ynaydi,
undan imzolarni tekshirish iyerarxik jarayoni boshlanadi. Butun domen nomining

104
haqiqiyligi faqat barcha kalitlar yordamida imzolarning haqiqiyligi tekshirish bilan
tasdiqlanadi.
DNSSEC har bir zona uchun juft kalit (yopiq va ochiq kalit) va raqamli
imzodan foydalanadi. Raqamli imzo DNS serverida boshqa yozuvlar bilan birga
saqlanadi. Zona yopiq kaliti DNS so‘rovlari va javoblarini imzolaydi, ochiq kalit esa
imzoni haqiqiyligini tekshirish uchun qo‘llaniladi. Agar maʼlumotlardagi raqamli
imzo ochiq kalit yordamida haqiqiyligi tasdiqlansa, u holda ular so‘rov yuborgan
mijoz kompyuterlariga uzatiladi. Imzolardan foydalanish javobning ishonchli
serverdan kelganini va hech kim tomonidan o‘zgartirilmaganini tasdiqlaydi. Agar
tasdiq olinmasa, javob mijozga uzatilmaydi.
DNSSEC-da ishonchning iyerarxiyasi qo‘llaniladi, yaʼni yuqori zonadan past
zonaga ishonch bildiriladi. Resolver (mijoz tomonidan yuborilgan DNS so‘rovni
qabul qilib, uning so‘rovini qayta ishlaydigan DNS server, odatda bu lokal DNS
server yoki internet provayderi DNS serveri yoki google, yandex-ning ochiq DNS
serverlari va h.k.) boshqa serverdan maʼlumotlarni so‘raganda, ushbu zona bilan
bog‘liq kalit ham so‘raladi. Har bir pog‘onadagi domenlar uchun masʼul bo‘lgan
serverlar quyi pog‘ona domenlarining zonalari uchun ochiq kalitlarni tasdiqlaydi.
Yuqori pog‘ona domeni serveri quyi pog‘ona domeni serverini autentifikatsiya
qilish uchun kerakli maʼlumotlarni beradi, Resolver server uning javoblari va
imzolarini haqiqiylikka tekshiradi.
Agar foydalanuvchi maʼlum bir saytga kirishni xohlasa, DNS so‘rovi Resolver
orqali ildiz serverga o‘tadi. Ushbu holat Resolver va ildiz server o‘rtasidagi
ishonchga asoslangan. Resolverda ildiz zonasi uchun ochiq kalit mavjud, ushbu
ochiq kalit DNSSec joriy qilinganidan beri o‘zgarmagan. Ildiz server zona uchun
qaysi server javobgarligini xabar beradi va quyi pog‘ona serverining javobini
tekshirish uchun maʼlumot beradi. Resolver maʼlumotlarning haqiqiyligini
tekshirgandan keyin so‘rovni ushbu quyi pog‘ona serveriga uzatadi. Ushbu jarayon
kerakli domen pog‘ona serveriga yеtib bormaguncha davom etadi. Yakunda mos
pog‘ona domeniga masʼul DNS serverdan domen IP adresi va raqamli imzodan
iborat javob keladi. Resolver ushbu javobning haqiqiyligiga ishonch hosil

105
qilganidan keyin uni mijozga uzatadi. Nihoyat, brauzer domen IP adresini aniqlab,
unga murojaat qiladi.
Sizning kompyuteringiz

Download 7,61 Mb.

Do'stlaringiz bilan baham:

1 ... 71 72 73 74 75 76 77 78 ... 165