Основатели сети электроники DNS стали долларовыми мультимиллионерами
Проведенная в прошлом году реструктуризация сети супермаркетов бытовой и компьютерной техники DNS позволяет дать оценку стоимости компании. Согласно подсчетам Forbes, по итогам 2018 года DNS стоила примерно $790 млн, а ее владельцы стали долларовыми мультимиллионерами
Пять лет назад выручка DNS не превышала 100 млрд рублей. А сама группа представляла собой набор из более чем 50 разрозненных компаний, зарегистрированных по всей стране — от Ростова-на-Дону до Владивостока, где находилась ее условная штаб-квартира. Не простой была и структура собственности — у DNS было 10 учредителей, знакомых еще с 1990-х, на каждого из них было записано несколько компаний.
Долгие годы такая сложная структура устраивала основателей DNS. Но летом 2014 года 15 складов компании опечатали таможенники. «Непрозрачность сыграла с нами злую шутку», — сетовал в интервью «Ведомостям» один из основателей DNS Дмитрий Алексеев. Бороться за конфискованный товар пришлось больше года. После этого случая DNS запустила реструктуризацию. В марте 2018 года у группы появился центр прибыли — компания «ДНС Ритейл» (100%-ая «дочка» холдинговой структуры «ДНС Групп») поглотила 40 компаний, на которых ранее аккумулировалась большая часть выручки DNS.
Сегодня Алексеев — крупнейший акционер «ДНС Групп» с долей в 48,73%. Еще 43,88% акций находятся у финансового директора DNS Юрия Карпцова. Помимо Алексеева и Карпцова у DNS есть еще пять миноритариев с пакетами, не превышающими 3% акций.
По итогам 2018 года выручка группы составила 268,5 млрд рублей (по оценке «INFOLine — Аналитика»). Это означает, что сеть DNS по состоянию на конец прошлого года стоила примерно $790 млн, а состояния совладельцев — Алексеева и Карпцова — можно оценить в $ 380 млн и $ 340 млн соответственно. По собственным прогнозам компании, в 2019 году выручка группы вырастет еще на 15%.
«Люди готовы были есть меньше колбасы ради компьютера»
История создания DNS уходит еще в 1990-е, когда Алексеев и Карпцов занимались сборкой и продажей компьютеров, обслуживая преимущественно корпоративных клиентов. Все изменил кризис 1998 года. К омпании сокращали расходы на закупку оборудования, в то время как частные клиенты отказываться от гаджетов не собирались. «Нас удивило, что люди готовы были есть меньше колбасы ради покупки компьютера», — говорил в интервью Forbes Алексеев. Тогда партнеры и решили переориентироваться на розничную торговлю. Первый магазин открыли уже в 2000-е в родном Владивостоке, а в 2007 году запустили собственное производство. Под марками DNS, DEXP, ZET компания выпускает стационарные компьютеры, ноутбуки, мониторы, смартфоны, компьютерные аксессуары. По словам Алексеева, сейчас на собственную технику приходится немногим более 10% от общей объема продаж.
DNS является одним из крупнейших федеральных ретейлеров, торгующих электроникой и бытовой техникой. Во многом это стало возможным благодаря тому, что рынок в последние годы консолидируется. «М.Видео» под управлением группы «Сафмар» Михаила Гуцериева скупило крупнейших игроков: MediaMarkt и «Эльдорадо», ряд игроков обанкротились, например сети «Белый ветер цифровой» и Domo. При этом DNS не только не сдал свои позиции, но и активно наращивает обороты. На сегодняшний день у группы 1800 магазинов в 400 городах, работают в компании больше 27 000 человек.
Стратегия как у «Магнита»
По мнению генерального директора INFOLine Ивана Федякова, секрет успеха DNS — в правильно выбранной стратегии, которая напоминает стратегию «Магнита» в его лучшие годы, когда он еще находился под управлением Сергея Галицкого. «Они стараются заполучить потребителей в небольших и средних городах России, тем самым укрепляя свои позиции в регионах, и только после этого заходить на столичные рынки», — говорит Федяков. Это позволило DNS сделать сеть более универсальной с точки зрения форматов магазинов. Свою роль сыграло и то, что группа занималась собственным развитием, не ориентируясь на конкурентов: когда «М-видео», «Эльдорадо» и MediaMarkt еще не были единой группой, они зачастую просто брали объекты в аренду даже по неадекватной стоимости — лишь бы на этом месте не открылся магазин конкурента. DNS этим не занимался, резюмирует Федяков.
- Какие частные компании растут в России на 150-250% в год
- 200 крупнейших частных компаний России — 2019
Впрочем, DNS не ограничивает свою стратегию только органическим ростом. В 2014 году группа приобрела петербургскую сеть магазинов «Компьютерный мир», а в 2019 году купила еще одну питерскую сеть «Кей». Аналитик «Атон» Виктор Дима отмечает, что консолидация рынка ретейла происходит не только в России, но и в Европе и США. При этом этот процесс сыграл на руку DNS — они получают те доли рынка, которые раньше принадлежали небольшим региональным игрокам.
Еще один канал продаж для всех ретейлеров — онлайн. По словам Федякова, DNS начал осваивать продажи через интернет раньше конкурентов. В онлайне невозможно быть успешным без развитой логистической сети, добавляет Дима. «Если вы захотите выстроить онлайн-доставку даже по крупнейшим городам, это будет стоить очень дорого», — говорит Дима. У DNS же уже существуют магазины в большинстве городов, благодаря чему стоимость доставки товаров, заказанных через интернет, практически сводится к нулю.
Сам Алексеев к перспективам развития интернет-торговли относится сдержанно. «Мы никакого фетиша из этого дела не делаем», — говорит он Forbes. Компания не торгуется на бирже, а значит, ей «не нужно изображать перед инвесторами инновационность», объясняет бизнесмен.
«Для нас главная задача — обеспечить лучший сервис для клиента без акцента на какие-то отдельные каналы. Нам по большому счету все равно. Я не вижу запроса от наших клиентов, что им нужен сплошной онлайн. На самом деле им нужно, чтобы было дешево, близко и удобно. Лучше магазина в шаговой доступности пока ничего не придумали», — резюмирует Алексеев.
5 самых бурно развивающихся компаний России
5 самых бурно развивающихся компаний России
DNS (компания)
DNS — российская компания (ООО «ДНС РИТЕЙЛ»), владелец розничной сети, специализирующейся на продаже компьютерной, цифровой и бытовой техники, а также производитель компьютеров, включая ноутбуки, планшетные компьютеры и смартфоны (сборочное производство). Сеть насчитывает 500 магазинов в более чем 150 городах России. Штаб-квартира компании DNS находится во Владивостоке [1] .
- 1 История
- 2 Сведения о компании
- 2.1 Виды деятельности
- 2.2 Контакты
- 2.3 Руководитель
История
Свою историю компания DNS начала в 1990-х годах. Основатели компании занимались сборкой и продажей персональных компьютеров, а также системной интеграцией. В 1998 году, компания переключилась с обслуживания корпоративных клиентов на розничную торговлю, в результате преобразований была создана компания DNS (Digital Network System) и открыт первый компьютерный магазин во Владивостоке, в котором собирались и продавались компьютеры.
С 2005 года компания активно развивает свою розничную сеть. Был открыт второй компьютерный магазин в Находке. В том же, 2005 году компания DNS открыла третий магазин в Хабаровске. В 2006 году был открыт магазин в Иркутске, а в 2007 году — в Комсомольске-на-Амуре, Благовещенске, Томске и Абакане. В течение 2008—2009 годов магазины компании DNS были открыты в Чите, Новосибирске, Красноярске, Екатеринбурге, Челябинске, Ростове-на-Дону, Южно-Сахалинске.
В 2010 году компания перерегистрировалась под названием ООО «ДНС РИТЕЙЛ». Филиальная сеть компании в 2010 году DNS насчитывала более 100 магазинов в 28 городах России, в которых работало более 1500 сотрудников. На начало 2011 года было открыто более 185 магазинов в 60 городах России с командой из более чем 3,5 тысяч сотрудников. К этому времени компания DNS уже начала экспансию в мегаполисы (Москва, Московская область) и продолжала развиваться в Сибири и на юге страны.
По состоянию на июль 2013 года компанией DNS было открыто более 700 магазинов в более чем 200 городах России. В 2012 году в городе Артём Приморского края начал функционировать завод по производству компьютеров и ноутбуков, рассчитанный на сборку 1,5 миллионов компьютеров и ноутбуков в год. По итогам того же 2012 года выручка компании достигла 86,4 млрд рублей, что позволило ей занять 60-е место в рейтинге 200 крупнейших частных компаний России по версии журнала Forbes за 2013 год. Параллельно с другими сетевыми магазинами ее владельцы начали развивать сеть электронных дисконтных магазинов TechnoPoint, включая складские магазины, размещающие заказы через Интернет или электронные терминалы. Филиалы сети заработали в разных городах Россия, в основном на Дальнем Востоке и в Сибири. В апреле 2014 года компания DNS приобрела сеть магазинов компьютерной техники «Компьютерный мир» в Санкт-Петербурге. В марте 2019 года DNS приобрела санкт-петербургскую розничную сеть компьютерных магазинов «Кей» [2] .
Сведения о компании
Компания: ООО «ДНС РИТЕЙЛ» зарегистрирована 22 декабря 2010 года в городе Владивосток. Краткое наименование: «ДНС РИТЕЙЛ». При регистрации организации присвоен ОГРН 1102540008230, ИНН 2540167061 и КПП 254301001. Юридический адрес: Приморский край, город Владивосток, проспект 100-летия Владивостока дом 155, корпус 3, офис 5 [3] .
По данным ООО «ДНС Ритейл», по всей стране работают более 2,6 тыс. магазинов DNS. Торговая сеть компании охватывает более 1170 городов на территории Российской Федерации. В штате компании числятся 38,8 тыс. сотрудников. В финансовом отчёте DNS указано, что по итогам 2022 года суммарные расходы на оплату труда сотрудников увеличились на 7,5 % в годовом исчислении и составили 26,966 млрд рублей.
По оценке аналитического агентства INFOLine, DNS входит в рейтинг десяти крупнейших онлайн-ретейлеров России по итогам 2022 года. Ретейлер электроники занял в этом рейтинге шестое место. На первых пяти позициях в 2022 году закрепились Wildberries, Ozon, «Яндекс», «Сбер» и AliExpress [4] .
Виды деятельности
- Розничная торговля телекоммуникационным оборудованием, включая розничную торговлю мобильными телефонами;
- Производство компьютеров и периферийного оборудования;
- Ремонт электронного и оптического оборудования;
- Производство электромонтажных работ.
Контакты
- E-mail: sharakhin.ds@dns-shop.ru
Руководитель
Статистика
Прибыль ООО «ДНС РИТЕЙЛ» за 2022 год [3] :
- За 2022 год прибыль компании составляет — 37 644 940 000 ₽, выручка за 2022 год — 597 047 065 000 ₽.
- Размер уставного капитала ООО «ДНС РИТЕЙЛ» — 1 785 608,00 ₽.
- Выручка на начало 2022 года составила 562 243 775 000 ₽, на конец — 597 047 065 000 ₽.
- Себестоимость продаж за 2022 год — −463 268 509 000 ₽.
- Валовая прибыль на конец 2022 года — 133 778 556 000 ₽.
- Общая сумма поступлений от текущих операций на 2022 год — 630 285 610 000 ₽.
Торговые марки компании
У компании ООО «ДНС РИТЕЙЛ» есть торговые марки, общее количество — 56 [3] .
Основные торговые марки компании DNS
- NS ГИПЕР,
- FIERO,
- DNS,
- DEXP DIGITAL EXPERIENCE,
- DNS ДОСТАВКА,
- FINE POWER FINEPOWER,
- EIGEN, DNS SMART,
- KEYRON,
- DEXP DE DIGITAL EXPERIENCE,
- FINEPOWER,
- DEXP DIGITAL EXPERIENCE DEXP,
- ONE TWO,
- NS ФРАУТЕХНИКА ДЛЯ ДОМА ФРАУТЕХНИКА ФРАУ ТЕХНИКА,
- DNS МАГАЗИНЫ ЦИФРОВОЙ И БЫТОВОЙ ТЕХНИКИ,
- DNS БИЗНЕС,
- ONETWO,
- DEXP DE,
- ФРАУТЕХНИКА ФРАУ ТЕХНИКА,
- DNSSHOP SHOP DNS WWW.DNS-SHOP.RU СЕТЬ СУПЕРМАРКЕТОВ ЦИФРОВОЙ ТЕХНИКИ,
- DNS СЕРВИС,
- PROZAPASS PROZA ZAPASS PROPASS PRO ZA PASS PROZA ZAPASS PROPASS ZAPAS PROZAPASS,
- DEXP,
- ZET GAMING,
- DNS ЦИФРОВАЯ И БЫТОВАЯ ТЕХНИКА,
- ACELINE,
- DNS ТЕХНОПОИНТ.
Примечания
- ↑Компания DNS(рус.) . Сайт компании DNS. Дата обращения: 2 октября 2023.
- ↑DNS(рус.) . Ретайл. Дата обращения: 2 октября 2023.
- ↑ 3,03,13,2ООО «ДНС РИТЕЙЛ»(рус.) . РБК Компания. Дата обращения: 2 октября 2023.
- ↑Ретейлер DNS получил рекордную выручку и прибыль по итогам 2022 года(рус.) . Хабр. Дата обращения: 2 октября 2023.
Ссылки
- О компании DNS
- ООО «ДНС РИТЕЙЛ»
- Сайт компании DNS
Данная статья имеет статус «готовой». Это не говорит о качестве статьи, однако в ней уже в достаточной степени раскрыта основная тема. Если вы хотите улучшить статью — правьте смело!
- Знание.Вики:Статьи без ссылки на Викисклад
- Компании по алфавиту
- Компании, основанные в 1998 году
- Общество
- Все статьи
- Компании России по отраслям
- Компании розничной торговли России
- Появились в 1998 году в России
- Компании Владивостока
- Производители компьютеров России
- Сети магазинов электроники и бытовой техники
- Торговые сети России
- Ассоциация компаний интернет-торговли
- Ассоциация компаний розничной торговли
Что такое DNS простыми словами
Всё о DNS-серверах: что такое DNS, для чего нужны и как работают серверы Domain Name System, – подробно рассмотрим в этой статье.
DNS — что такое и для чего используется
DNS сервера ― что это
Интернет — это бесчисленное количество физических устройств (серверов, компьютеров, планшетов и т.д.), связанных между собой в сеть. Любой сайт в интернете по факту находится на физическом устройстве. Каждое устройство имеет свой уникальный номер — IP-адрес вида 123.123.123.123.
Чтобы попасть на сайт, нужно знать IP-адрес устройства, на котором расположен этот сайт. А теперь представьте, сколько сайтов в день вы посещаете и сколько цифр вам пришлось бы запомнить. Конечно, это нереально. Поэтому для удобства работы в Интернете в 80-х годах была создана система доменных имен — DNS (Domain Name System). Смысл ее в том, что каждому цифровому IP-адресу присваивается понятное буквенное имя (домен). Например, IP-адресу сервера 194.58.116.30 соответствует домен reg.ru. Когда вы вводите в браузере доменное имя, сервера DNS автоматически преобразуют его в IP-адрес. Домен за доли секунды переводится в IP-адрес DNS-системой, и вы попадаете на нужный сайт.
Таким образом, DNS ― это система, которая позволяет браузеру найти запрошенный пользователем сайт по имени домена.
Для чего нужны DNS-серверы
Служба доменных имён работает благодаря DNS-cерверам. Именно эти жизненно важные «программы» хранят таблицы соответствий вида «имя домена» — «IP-адрес». Кроме того, DNS-серверы служат для хранения ресурсных записей доменов. Что это и как работает, мы рассказали в статье Что такое ресурсные записи. В интернете огромное количество DNS-серверов и каждый выполняет свою функцию в общей системе. Служба Domain Name System необходима для того, чтобы мы могли без проблем находить свои любимые сайты, не запоминая вереницы цифр.
Как работают DNS-серверы
Итак, вы вводите название сайта в адресную строку и нажимаете Enter. В те самые секунды, перед тем как сайт отобразится на вашем экране, DNS-серверы работают, не щадя себя. Посмотрим, что делают DNS-серверы. Следите за стрелочками. DNS переводит имя домена в IP-адрес: как это работает
Когда вы вводите в строке браузера доменное имя, например, faq-reg.ru, браузер ищет на вашем локальном компьютере файл hosts. В нем задаётся соответствие домена IP-адресу. Допустим, в этом файлe есть запись для введенного домена. Что это значит? Что сайт откроется сразу (стрелка 9). Если же записи нет, браузер сформирует DNS-запрос к интернет-провайдеру (стрелка 1), чтобы тот нашёл IP-адрес домена.
У каждого интернет-провайдера есть локальные (кеширующие) DNS-серверы. После получения запроса провайдер ищет в своём кеше запись о соответствии требуемого домена IP-адресу. Если такая запись есть, браузер получит IP-адрес (стрелка 8). По этому адресу браузер обратится к хостингу, на котором расположен сайт, и пользователю откроется нужная страница (стрелка 9). Если запись отсутствует, провайдер перенаправит DNS-запрос на корневые DNS-серверы (стрелка 2).
Корневые DNS-серверы хранят информацию только о DNS-серверах, ответственных за доменные зоны. Корневой DNS-сервер не может предоставить провайдеру информацию об IP-адресе домена faq-reg.ru. Зато он отправит IP-адрес DNS-сервера доменной зоны, в данном случае зоны .ru (стрелка 3).
Теперь у интернет-провайдера есть IP-адрес DNS сервера доменной зоны .ru. Поэтому он обращается к этому DNS-серверу и запрашивает IP-адрес домена (стрелка 4).
DNS-серверы зоны .ru хранят только информацию о DNS-серверах всех доменов в этой зоне, а не их IP-адреса. Поэтому DNS-серверы зоны подскажут интернет-провайдеру IP-адрес DNS-сервера домена faq-reg.ru (стрелка 5).
Интернет-провайдер получил IP-адрес DNS-сервера домена faq-reg.ru. Он обращается к DNS-серверу домена (например, к ns1.hosting.reg.ru) с запросом IP-адреса домена (стрелка 6).
После получения запроса DNS-сервер сначала проверяет, есть ли у него информация о домене faq-reg.ru и искомый IP-адрес для него. В случае успеха DNS-сервер отправит IP-адрес домена интернет-провайдеру (стрелка 7).
Интернет-провайдер получает IP-адрес домена и сохраняет его у себя в кеше. После этого он отправит браузеру результат DNS-запроса — IP-адрес домена faq-reg.ru (стрелка 8).
Браузер обращается к хостингу по полученному IP-адресу (стрелка 9). Теперь пользователю открывается запрашиваемый сайт faq-reg.ru.
Где находятся DNS-серверы
Основой DNS-системы являются корневые серверы, которых всего 13. Чтобы повысить устойчивость системы, были созданы их копии в разных странах. Каждой копии присваивается тот же IP DNS-сервера, что и у главного устройства.
Список 13 корневых серверов
Официальная информация о том, где находится и кому принадлежит тот или иной действующий корневой DNS-сервер, публикуется на сайте Ассоциации операторов Корневых серверов DNS.
Хост Оператор a.root VeriSign, Inc. b.root Information Sciences Institute c.root Cogent Communications d.root University of Maryland e.root NASA Ames Research Center f.root Internet Systems Consortium, Inc. g.root Defense Information Systems Agency h.root U.S. Army Research Lab i.root Netnod j.root VeriSign, Inc. k.root RIPE NCC l.root ICANN m.root WIDE Project DNS-серверы расположены согласно интенсивности использования интернет-инфраструктуры. Больше всего серверов находится в Северной Америке, но копии серверов есть в:
- России,
- Европе,
- Австралии,
- Китае, Бразилии,
- ОАЭ,
- Исландии и в других странах.
В России реплики корневых серверов DNS находятся в:
- Москве,
- Санкт-Петербурге,
- Новосибирске,
- Ростове-на-Дону,
- Екатеринбурге.
Зачем прописывать DNS-серверы для домена
Допустим, вы зарегистрировали домен. Пока никто, кроме вас, об этом не знает. Чтобы о существовании вашего домена узнал интернет, нужно выбрать и прописать для домена DNS-серверы. Они-то и расскажут другим DNS-серверам интернета о вашем домене. Так что запоминаем: зарегистрировал домен — пропиши DNS-серверы!
Какие DNS-серверы нужно прописывать? Зависит от того, где хранятся файлы сайта: на хостинге или VPS. Определиться с серверами поможет статья. Если сайт ещё не создан и нигде не размещён, можно указать бесплатные DNS-серверы Рег.ру (ns1.reg.ru и ns2.reg.ru). Как это сделать, читайте в статье Как прописать DNS для домена.
Прописывают DNS-серверы чаще всего парами. Один из DNS является первичным, а остальные серверы, которых может быть от 1 до 12 для каждого домена, называются вторичными. Это делается для лучшей отказоустойчивости: если выйдет из строя первичный DNS-сервер, домен и сайт продолжат свою работу благодаря вторичным.
Типы записей DNS-сервера
«Вы рассказали про ситуацию, когда один домен = один сайт = один IP-адрес. А что если у меня есть поддомены или почтовые серверы и у них другие IP-адреса. А может, я вообще хочу использовать несколько IP-адресов. Как сервер DNS поймёт, что это всё относится к одному сайту?» ― могли задуматься вы.
Для этого в DNS есть файлы, в которых хранятся все необходимые связи между доменным именем и IP-адресами. Написанное в этом файле называется описанием DNS-зоны, или просто DNS-зоной.
Есть несколько видов записей, которые могут быть файле. Основные записи:
- А — IP-адрес веб-ресурса, который соответствует определённому имени домена,
- MX — адрес почтового сервера,
- CNAME — указывает аналог основному доменному имени. Эта запись чаще всего используется для прикрепления поддомена,
- NS — адрес DNS-сервера, где хранятся все ресурсные записи,
- TXT — любая текстовая информация о домене,
- SPF — список серверов, которым позволено отправлять письма от имени указанного домена,
- SOA — исходная запись зоны, в которой указаны сведения о сервере.
Подробнее можно прочитать в статье Что такое ресурсные записи DNS
Почему домены начинают работать не сразу
DNS-серверы интернет-провайдера обновляются раз в сутки (принцип работы DNS-серверов). Если вы только что прописали или сменили DNS-серверы, придётся подождать 24 часа. Смена DNS-сервера чревата временным отсутствием работающего сайта. После обновления DNS сайт станет доступен. Если сайт не работает — в помощь вам инструкция: Прописал DNS-серверы, но сайт недоступен.
Если вы зарегистрировали домен, но еще не создали на нем сайт, после обновления DNS-серверов на вашем домене будет открываться парковочная страница с надписью «Домен надежно припаркован». Если вы хотите создать на домене сайт, вам поможет статья: Я зарегистрировал домен, что дальше?
Быстрый старт
Получите все необходимые инструменты для быстрого запуска бизнеса в интернете. В пакет «Быстрый старт» входят домен в зоне .ru, производительный хостинг и SSL-сертификат.
Помогла ли вам статья?
Спасибо за оценку. Рады помочь
Фарминг DNS. Кто-то отравил источник!
Если у вас есть дети, то, возможно, вы вспомните ковбоя Вуди — игрушку, управляемую веревочкой, из мультфильма Pixar История игрушек. Среди забавных фраз, которые произносил Вуди, когда его дергали за веревочку, были «В моем ботинке змея!» и «Кто-то отравил источник!». Если бы компания Hasbro выпустила сегодня виртуального Вуди, он бы предупредил нас о столь же серьезной угрозе — отравлении кэша DNS. Аналогия проста: на Диком Западе отравленный колодец означает катастрофу; в Интернете отравленный кэш DNS — не меньшее бедствие.
Обновитель в разрешении доменных имен
Приложения (такие как браузеры и почтовые клиенты) используют локальное программное обеспечение DNS (оконечный преобразователь) для поиска IP-адреса, соответствующего доменному имени ресурса (например, веб-сайта или почтового сервера). Оконечный преобразователь направляет запрос на локальный сервер имен (NS-сервер), который может использоваться вашей организацией или поставщиком услуг Интернета. Локальный сервер имен может направить этот запрос на доверенный NS-сервер для разрешения. Чтобы найти доверенный NS-сервер для любой конкретной зоны данных DNS, локальный NS-сервер, прежде всего, запрашивает корневой сервер (.). Например, для разрешения адреса www.watchguard.com локальный NS-сервер спрашивает у корневого сервера, каков IP-адрес для watchguard.com. Сервер ответит, что нужно запросить NS-сервер «com» в этом IP-адресе. Локальный NS-сервер покорно запрашивает NS-сервер «com», который отвечает: «Необходимо запросить NS-сервер «watchguard» в этом IP-адресе». Настроенный таким образом локальный NS-сервер выполняет итеративное и рекурсивное разрешение.
Итеративное и рекурсивное разрешение имен необходимо при первом поиске доменного имени. Но почему сервер имен должен разрешать адрес www.google.com миллион раз в день? В целях повышения эффективности многие администраторы DNS настраивают полнофункциональный NS-сервер, который выполняет разрешение и также кэширует разрешенные имена для более быстрого ответа на будущие запросы записи одного и того же имени. (Примечание. Серверы имен обычно ограничивают время существования кэшированных записей меньшим из двух сроков — локальным сроком жизни либо сроком жизни, установленным доверенным NS-сервером для записи данного имени. В Windows XP также предусмотрен локальный кэш.. В приведенном ниже источнике эта реализация рассмотрена подробно.)
Что такое подмена кэша DNS?
Подмена кэша — это вид атаки, при которой злоумышленник обманом заставляет сервер имен добавить в кэш неправильные или вредоносные данные либо заменить ими кэшированные данные DNS. Существует несколько форм подмены DNS (кэша). Одна из атак, которая в последнее время часто становится причиной различных проблем, связана с фишингом и называется фармингом (pharming). Злоумышленник заманивает жертву, запрашивая разрешение имени в контролируемой им зоне, например www.example.com. Для этого часто используется почтовый спам. Локальный NS-сервер жертвы направляет запрос NS-серверу злоумышленника (example.com). NS-сервер злоумышленника в ответ передает IP-адрес www.example.com. Злоумышленник щедро добавляет в ответ одну или несколько дополнительных записей для других доменных имен, например www.watchguard.com. Эта запись является вредоносной: IP-адрес, который злоумышленник связывает с www.watchguard.com, относится к узлу, контролируемому злоумышленником, а не к правильному адресу 206.253.208.100. Предпринимая эту атаку, злоумышленник рассчитывает, что жертва использует кэширующий сервер имен, который считает надежными записи имен из недоверенного источника. Такая небрежная настройка становится причиной подмены кэша. Обратите внимание, что в данном примере доверенный сервер имен WatchGuard не является целью атаки и не затрагивается ею, а продолжает работать, не зная о ней.
Как только запись имени в кэше будет отравлена злоумышленником, любой пользователь, запрашивающий отравленную запись из кэша, может быть обманут многими способами и понести ущерб. Например:
- Пользователь может посетить веб-сайт, который представляет собой искаженную или мошенническую версию реального веб-сайта. Из-за своего влияния на пользователя и на оператора сайта (регистратора доменных имен) этот вид атаки относится как к фармингу, так и к захвату доменного имени.
- Пользователь может отправить данные своей учетной записи на фальшивый почтовый сервер или на вредоносный, но производящий впечатление легального веб-портал, требующий проверку подлинности. Либо пользователь может произвести онлайновую транзакцию и отправить данные своей кредитной карты или другую финансовую информацию. И то, и другое — виды кражи личных сведений.
- Пользователь может загрузить зараженные файлы или вредоносный код с поддельного веб-сайта, на который он был обманом привлечен.
Специалисты по безопасности предупреждают пользователей о необходимости проверки гиперссылок, полученных по электронной почте, поскольку эти ссылки могли быть специально придуманы и только маскируются под реальные URL-адреса (см. «Основы. Как обнаруживать фишинг-атаки» и «Анализ фишинг-операции»). Сейчас злоумышленники используют отравление кэша для повышения эффективности фишинга и мошенничества. Если кэш изменен, злоумышленник может использовать точное доменное имя сайта или сервера, который он подделывает, и пользователи не смогут так легко обнаружить фальшивые URL.
Защита серверов кэша DNS от подмены
Чтобы узнать, защищен ли ваш локальный NS-сервер от подмены кэша, посетите страницу Кэтил Фройн (Ketil Froyn) DNS Poisoning (Отравление DNS), где вы сможете (безопасно) проверить наличие этой уязвимости в вашей системе. Хорошим обучающим приемом является использование анализатора LAN и отслеживание запросов и ответов DNS. Если вам как администратору DNS-сервера неудобно производить эти операции, по крайней мере убедитесь, что ваша конфигурация защищает от данного типа подмены кэша.
Если вы используете службу DNS в ОС Windows NT 4.0, 2000 или 2003 Server, сначала ознакомьтесь со статьей Description of the DNS Server Secure Cache Against Pollution setting (Описание настройки DNS-сервера «Включить безопасный кэш») от Microsoft. Эта статья базы знаний объясняет, как при помощи параметра реестра DNS-сервера, SecureResponses, можно установить правило, чтобы DNS-сервер игнорировал дополнительные записи ресурсов, используемые злоумышленниками. Если правильно задать этот параметр, DNS-сервер будет кэшировать только те записи ресурсов, которые были получены с доверенных серверов. По умолчанию параметр SecureResponses не активирован на DNS-сервере в ОС Windows NT 4.0 и 2000, поэтому нужно добавить его в реестр. Microsoft предоставляет подробные инструкции по созданию и включению этого параметра в статье базы знаний «How to prevent DNS cache pollution (Как предотвратить заражение кэша DNS)». Параметр SecureResponses активирован по умолчанию на DNS-сервере в ОС Windows 2003. Пользователи BIND должны выполнить обновление до последней версии BIND 9, чтобы включить защиту от заражения (подмены).
Операторам веб-сайтов рекомендуется использовать доступ на основе SSL (HTTPS) вместо базового протокола HTTP, чтобы защититься от захвата сайтов и мошенничества. Пользователи могут проверить подлинность сайта, ознакомившись с сертификатом сервера. Также рекомендуется использовать туннели SSL/TLS или SSH для электронной почты, FTP и других служб, предоставляемых сотрудникам, бизнес-партнерам и заказчикам.
Несколько источников, перечисленных ниже, также поясняют сценарии развертывания, которые повышают устойчивость DNS-служб к отравлению и другим видам атак.
Выводы
Подмена кэша DNS, такие как фарминг, — не новый, но обновленный вид атаки. Различные варианты этого вида атаки существуют уже около десяти лет. Однако благодаря широкому распространению Интернет-служб в сфере банковских услуг, коммерции и важных бизнес-операций успешное отравление кэша DNS сегодня приносит злоумышленникам более значимые выгоды, чем когда-либо раньше. Если вы предлагаете службы DNS, необходимо принять меры для защиты пользователей от атак на серверы имен. Так же как и в случае со многими другими уязвимостями, небольшое изменение конфигурации может принести большую пользу и гарантировать, что ваш DNS-сервер никогда не получит «змею в своем ботинке».
Автор: Дэйв Писцителло (Dave Piscitello), президент Core Competence