- •Безпека інформаційно- комунікаційних систем
- •Isbn 966-552-167-5
- •1.1. Термінологія
- •1.1.1. Системи, в яких здійснюється захист інформації
- •1.1.2. Завдання захисту інформації
- •1.1.3. Загрози і вразливості
- •1.1.4. Комплексна система захисту інформації
- •1.1.5. Об'єкти захисту та їхні властивості
- •1.1.6. Розроблення й оцінювання захищених систем
- •1.2. Загрози безпеці інформації
- •1.2.1. Класифікація загроз
- •1.2.2. Перелік типових загроз безпеці
- •1.2.3. Класифікація атак
- •1.2.4. Методика класифікації загроз stride
- •1.2.5. Модель загроз
- •1.3. Порушники
- •1.3.1. Визначення терміну «хакер»
- •1.3.2. Наслідки віддій порушників
- •1.3.3. Модель порушника
- •2.1. Рівні інформаційно-комунікаційної системи
- •2.2. Функціональні сервіси безпеки і механізми, що їх реалізують
- •2.2.1. Таксономія функцій систем захисту
- •2.3. Основні підсистеми комплексу засобів захисту
- •2.3.1. Підсистема керування доступом
- •2.3.2. Підсистема ідентифікації й автентифікації
- •2.3.3. Підсистема аудита
- •Підсистема забезпечення цілісності
- •Криптографічна підсистема
- •3.1. Історична довідка
- •3.2. Основні поняття
- •3.3.1. Симетричне шифрування
- •3.3.2. Асиметричне шифрування
- •4.1. Загальні поняття теорії захисту інформації
- •4.2. Позначення, аксіоми та визначення
- •4.3. Основні типи політик безпеки
- •4.4. Математичні моделі безпеки
- •4.4.1. Моделі дискреційної політики безпеки
- •4.4.2. Моделі мандатної політики безпеки
- •5.1. Передумови виникнення вразливостей у комп'ютерних системах
- •5.2. Класифікація вад захисту
- •5.2.1. Класифікація вад захисту за причиною їх появи
- •5.2.2. Класифікація вад захисту за їх розміщенням у системі
- •5.2.3. Класифікація вад захисту за етапами їх появи
- •5.3. Класифікація помилок, що виникають у процесі програмної реалізації системи
- •5.4. Помилки переповнення буфера
- •5.4.1. Переповнення буфера у стеку
- •5.4.2. Переповнення буфера у статичній або динамічній пам'яті
- •5.4.3. Помилка переповнення в один байт
- •5.5. Помилки оброблення текстових рядків
- •5.5.1. Використання конвеєра
- •5.5.2. Переспрямування введення-виведення
- •5.5.3. Спеціальні символи
- •5.6. Люки
- •5.6.1. Режим debug у програмі sendmail
- •6.1. Класифікація шкідливого програмного забезпечення
- •6.2. Програмні закладки
- •6.2.1. Функції програмних закладок
- •6.2.2. Шпигунські програми
- •6.2.3. «Логічні бомби»
- •6.2.4. Люки — утиліти віддаленого адміністрування
- •6.2.5. Несанкціонована робота з мережею
- •6.2.6. Інші програмні закладки
- •6.3. Комп'ютерні віруси
- •6.3.1. Файлові віруси
- •6.3.2. Завантажувальні віруси
- •6.3.3. Макровіруси
- •6.3.4. Скриптові віруси
- •6.3.5. Захист від комп'ютерних вірусів
- •6.4. Мережні хробаки
- •6.4.1. Класифікація мережних хробаків
- •6.4.2. Хробак Морріса
- •6.4.3. Сучасні мережні хробаки
- •6.5. «Троянські коні»
- •6.5.1. Соціальна інженерія
- •6.5.2. Класифікація «троянських коней»
- •6.5.3. Шпигунські троянські програми
- •6.5.4. Троянські інсталятори
- •6.5.5. «Троянські бомби»
- •6.6. Спеціальні хакерські утиліти
- •6.6.1. Засоби здійснення віддалених атак Засоби проникнення на віддалені комп'ютери
- •6.6.2. Засоби створення шкідливого програмного забезпечення
- •6.6.3. Створення засобів атак
- •7.1. Призначення стандартів інформаційної безпеки
- •7.2. Стандарти, орієнтовані на застосування військовими та спецслужбами
- •7.2.1. «Критерії оцінювання захищених комп'ютерних систем» Міністерства оборони сша
- •7.2.2. Інтерпретація і розвиток tcsec
- •7.2.3. Керівні документи Державної технічної комісії при Президенті Російської Федерації
- •7.3. Стандарти, що враховують специфіку вимог захисту в різних системах
- •7.3.1. Європейські критерії безпеки інформаційних технологій
- •7.4. Стандарти, що використовують
- •7.4.1. Концепція профілю захисту
- •7.4.2. Федеральні критерії безпеки
- •8.1. Законодавча і нормативна база захисту
- •8.1.1. Закон України «Про захист інформації
- •8.1.2. Нормативні документи системи
- •8.2. Оцінювання захищеності інформації,
- •8.2.1. Особливості термінології
- •8.2.2. Критерії захищеності інформації в комп'ютерних системах від несанкціонованого доступу
- •8.2.3. Класифікація автоматизованих систем
- •8.3. Керівні документи з вимогами до захисту інформації в інформаційних системах певних типів
- •8.3.1. Вимоги із захисту конфіденційної інформації
- •8.3.2. Вимоги до захисту інформації веб-сторінки від несанкціонованого доступу
- •9.1. Основні відомості
- •9.2. Базові поняття
- •9.3.2. Оцінювання об'єкта за «Загальною методологію»
- •9.3.3. Матеріали, необхідні для проведення кваліфікаційного аналізу
- •9.3.4. Три етапи здійснення кваліфікаційного аналізу
- •9.4. Структура основних документів «Загальних критеріїв»
- •9.4.1. Профіль захисту
- •9.4.2. Завдання з безпеки
- •1. Вступ.
- •5. Вимоги безпеки.
- •8. Обґрунтування.
- •10.1. Завдання апаратного захисту
- •10.2. Підтримка керування пам'яттю
- •10.2.1. Віртуальні адреси
- •10.2.2. Віртуальна пам'ять
- •10.2.3. Трансляція адрес
- •10.4. Особливості архітектури процесорів Intel х86
- •10.4.2. Селектори та дескриптори сегментів і сторінок
- •10.5.2. Сегментно-сторінковий розподіл пам'яті
- •10.6. Керування задачами
- •10.6.1. Виклик процедур
- •10.6.2. Виклик задач
- •10.6.3. Привілейовані команди
- •11.1. Загрози безпеці операційних систем
- •11.1.1. Сканування файлової системи
- •11.1.2. Викрадення ключової інформації
- •11.1.3. Добирання паролів
- •11.1.4. Збирання сміття
- •11.1.5. Перевищення повноважень
- •11.1.6. Програмні закладки
- •11.1.7. «Жадібні» програми
- •11.2. Поняття захищеної операційної системи
- •11.2.1. Підходи до побудови захищених операційних систем
- •11.2.2. Принципи створення захищених систем
- •11.2.3. Адміністративні заходи захисту
- •11.2.4. Політика безпеки
- •11.3.1. Основні функції кзз
- •11.3.2. Розмежування доступу
- •11.3.3. Ідентифікація, автентифікація й авторизація
- •11.3.4. Аудит
- •12.1. Історія створення unix
- •12.2. Архітектура системи
- •12.3.1. Модель безпеки системи unix
- •12.3.2. Підсистема ідентифікації й автентифікації
- •12.3.3. Підсистема розмежування доступу
- •12.3.4. Підсистема реєстрації
- •12.4. Адміністрування засобів безпеки unix 12.4.1. Особливості адміністрування
- •12.4.2. Утиліти безпеки
- •12.4.3. Характерні вразливості системи unix
- •13.1. Основні відомості про систему
- •13.1.1. Стисло про історію створення системи
- •13.1.2. Відповідність вимогам стандартів безпеки
- •13.2.1. Основні концепції
- •13.2.2. Компоненти системи захисту
- •13.3. Розмежування доступу
- •13.3.1. Основні принципи реалізації системи розмежування
- •13.3.2. Суб'єкти доступу Windows
- •13.3.3. Об'єкти доступу Windows
- •13.3.4. Стандартні настроювання прав доступу
- •13.3.5. Ідентифікація й автентифікація
- •13.3.6. Реалізація дискреційного керування доступом
- •13.4. Аудит
- •14.1. Обґрунтування застосування захищених ос для створення систем оброблення конфіденційної інформації
- •14.2. Система Trusted Solaris
- •14.2.1. Основні характеристики середовища Trusted Solaris
- •14.2.2. Керування доступом у середовищі Trusted Solaris
- •14.2.3. Окреме зберігання позначеної мітками
- •14.2.4. Адміністрування безпеки у середовищі Trusted Solaris
- •14.3. Операційна система Фенікс
- •14.3.1. Архітектура системи
- •14.3.2. Засоби захисту
- •14.3.3. Дискреційна модель ієрархічного керування
- •14.3.4. Засоби керування доступом
- •14.3.5. Перегляд протоколу аудита
- •14.3.5. Програмні інтерфейси системи
- •14.3.7. Застосування операційної системи Фенікс
- •15.1. Основні відомості про комп'ютерні мережі
- •15.1.1. Відкриті системи
- •15.1.2. Модель взаємодії відкритих систем
- •15.1.3. Стеки протоколів
- •15.2. Інтернет
- •15.2.1. Організація
- •15.2.2. Адресація
- •15.2.3. Маршрутизація
- •15.3. Загрози безпеці інформації у мережах
- •15.4. Безпека взаємодії відкритих систем
- •15.4.1. Сервіси безпеки
- •15.4.2. Специфічні механізми безпеки
- •15.4.3. Універсальні механізми безпеки
- •15.4.5. Подальший розвиток міжнародних стандартів
- •16.1. Протоколи прикладного рівня
- •16.1.1. Протокол Telnet
- •16.1.2. Протокол ftp
- •16.1.3. Мережні служби unix
- •16.2. Транспортні протоколи
- •16.2.1. Протокол udp
- •16.2.2. Протокол tcp
- •16.3. Протокол ip
- •16.3.1. Призначення й можливості протоколу iPv4
- •16.3.2. Атаки на протокол iPv4, пов'язані з адресацією Підміна адреси відправника
- •16.3.3. Атаки, що ґрунтуються на помилках оброблення фрагментованих пакетів
- •16.3.4. Можливості, закладені у протокол iPv6
- •16.4.1. Особливості протоколу
- •16.4.2. Модель загроз
- •16.4.3. Механізми захисту
- •16.4.4. Рішення з безпеки
- •Interdomain Route Validation
- •16.4.5. Оцінювання захищеності
- •16.5. Протоколи керування мережею 16.5.1. Протокол ісмр
- •16.5.2. Протокол snmp
- •17.1. Система електронної пошти
- •17.1.1. Архітектура системи електронної пошти
- •17.1.2. Формат повідомлення електронної пошти
- •17.1.3. Протокол smtp
- •17.1.4. Протокол рорз
- •17.1.5. Протокол імар4
- •17.1.6. Загрози, пов'язані з використанням електронної пошти
- •17.1.7. Анонімне відсилання електронної пошти
- •17.1.8. Атаки через систему електронної пошти
- •17.2.1. Принципи веб-технології
- •17.2.2. Протокол http
- •17.2.3. Динамічні сторінки
- •17.2.4. Уразливості серверного програмного забезпечення
- •17.2.5. Уразливості у сценаріях
- •17.2.7. Міжсайтовий скриптінг
- •17.2.8. Захист сервера від атак
- •17.2.9. Атака на клієнта
- •17.2.10. Безпека Java
- •18.1. Архітектура захищених мереж
- •18.1.1. Протидія прослуховуванню трафіку
- •18.1.2. Сегментація мережі
- •18.1.3. Резервування мережного обладнання і каналів зв'язку
- •18.2. Міжмережні екрани
- •18.2.1. Можливості міжмережних екранів
- •18.2.2. Рівні реалізації
- •18.2.3. Особливості персональних брандмауерів
- •18.2.4. Недоліки міжмережного екрана
- •18.3. Системи виявлення атак
- •18.3.1. Можливості систем виявлення атак
- •18.3.2. Різні типи систем виявлення атак
- •18.3.3. Інформаційні джерела
- •18.3.4. Аналіз подій у системах виявлення атак
- •18.3.5. Відповідні дії систем виявлення атак
- •18.4. Додаткові інструментальні засоби
- •18.4.1. Системи аналізу й оцінювання вразливостей
- •18.4.2. Перевірка цілісності файлів
- •Передавання інформації через захищені мережі
- •19.1. Захист інформації, що передається відкритими каналами зв'язку
- •19.2. Віртуальні захищені мережі
- •19.2.1. Різні види віртуальних захищених мереж
- •Vpn віддаленого доступу
- •19.2.2. Проблеми побудови віртуальних захищених мереж
- •19.3. Рівні реалізації віртуальних захищених мереж
- •19.3.1. Захист віртуальних каналів на сеансовому рівні
- •19.3.2. Захист віртуальних каналів на мережному рівні
- •19.3.3. Захист віртуальних каналів на канальному рівні
- •19.4. Вимоги нормативної бази до реалізації віртуальних захищених мереж в Україні
- •20.1. Порядок проведення робіт зі створення комплексної системи захисту інформації
- •20.1.1. Структура комплексної системи захисту інформації
- •20.1.2. Створення комплексної системи захисту інформації
- •Обґрунтування потреби у створенні системи захисту
- •20.2.2. Обстеження середовищ функціонування
- •20.2.3. Визначення й аналіз можливих загроз безпеці
- •20.2.4. Розроблення політики безпеки
- •20.2.5. Перелік вимог до захищеної системи
- •20.3. Розроблення технічного завдання на створення комплексної системи захисту інформації
- •20.4. Створення і впровадження комплексної системи захисту інформації
- •20.4.1. Розроблення проекту Порядок розроблення проекту
- •20.4.2. Введення комплексної системи захисту інформації в дію та оцінювання захищеності інформації в інформаційно-телекомунікаційних системах
- •20.4.3. Супроводження комплексної системи захисту інформації
- •21.1. Вимоги до кваліфікаційного аналізу
- •21.2. Організація державної експертизи
- •21.2.1. Положення про державну експертизу
- •21.2.2. Рекомендації з оформлення програм і методик проведення експертизи комплексної системи захисту інформації
- •21.3. Сертифікація засобів технічного захисту інформації
- •22.1. «Типове положення про службу захисту інформації в автоматизованій системі»
- •22.1.1. Загальні положення
- •22.1.2. Завдання та функції служби захисту інформації
- •22.1.3. Права й обов'язки служби захисту інформації
- •22.1.4. Взаємодія служби захисту інформації з іншими підрозділами та із зовнішніми організаціями
- •22.1.5. Штатний розклад і структура служби захисту інформації
- •22.1.6. Організація заходів служби захисту інформації та їх фінансування
- •22.2. Рекомендації щодо структури
- •22.2.1. Завдання захисту інформації в ас
- •22.2.2. Класифікація інформації, що обробляють в ас
- •22.2.3. Компоненти ас і технології оброблення інформації
- •22.2.4. Загрози інформації в ас
- •22.2.5. Політика безпеки інформації в ас
- •22.2.6. Календарний план робіт із захисту інформації в ас
- •22.3. Iso/iec 27002 «Інформаційні технології — Методики безпеки — Практичні правила управління безпекою інформації»
- •22.3.1. Загальні відомості про стандарт
- •22.3.2. Структура й основний зміст стандарту
- •22.3.3. Інші стандарти серн 27000
- •Грайворонський Микола Владленович Новіков Олексій Миколайович безпека інформаційно-комунікаційних систем
- •21100, М. Вінниця, вул. 600-річчя, 19.
15.2.2. Адресація
Загалом у стеку протоколів TCP/IP використовують три типи адрес [113]:
локальні, або апаратні, адреси, що застосовують для адресації в межах підмережі (частіше це МАС-адреси);
мережні, або IP- адреси, які однозначно ідентифікують вузол у межах усієї ІР-мережі;
доменні імена — символьні адреси, зручні для використання. Транспортування пакета в IP- мережі здійснюється за його IP- адресою, а передавання пакета всередині кожної з підмереж — за локальною. Якщо адресу призначення було вказано як доменне ім'я, що типово для роботи користувача в Інтернеті, то для відправлення пакета необхідно спочатку визначити ІР-адресу.
Отже, коли користувачі та прикладні програми звертаються до Інтернету, здійснюються перетворення адрес двох типів:
визначення IP- адреси за доменним іменем;
визначення локальної адреси за ІР- адресою.
Обидва перетворення можуть спричинити порушення безпеки, оскільки створюють умови для зловмисного підмінювання адрес. Насправді вузлів в Інтернеті так багато, що підтримувати актуальні таблиці адрес на кінцевих вузлах і вузлах комутації неможливо. Тому для перетворення доменних імен на ІР- адреси (та навпаки) створено так звану систему доменних імен (Domain Name System, DNS).
IP- адреси в Інтернеті
Протокол мережного рівня, який застосовують в Інтернеті, — це протокол IP
версії 4 (IPv4). Далі мова йтиме про адресацію, яку використовують саме у цьому протоколі.
ІР-
адреса має довжину 4 байти (октети) і
записується у вигляді чотирьох де
ситкових чисел, розділених крапками.
IP-адресу
поділяють на дві логічні частини: старша
— номер мережі, молодша — номер вузла
в мережі. Завдяки цьому здійснюється
передавання пакета в об'єднаній мережі;
спочатку аналізується старша частина
адреси і лише на останньому етапі,
всередині мережі призначення, пакет
спрямовується конкретному адресату.
Поділ
IP-
адреси на номер мережі та номер вузла
здійснюється на підставі значень
кількох старших бітів IP-адреси.
За ними визначається так званий клас
мережі. У мережі класу А номер мережі
становить 1 октет, а номер вузла — 3
октети. При цьому є всього 126 мереж класу
А з номерами від 1 до 126, кожна з яких
може містити до 224
- 2 = 16 777 214 вузлів. У мережі класу В для
номеру мережі та номеру вузла відведено
по 2 октети. У мережі класу С помер мережі
займає 3 октети, а номер вузла — 1
(кожна така мережа може містити лише
28
- 2 = 254 вузли). У табл. 15.4 наведено
основні характеристики різних класів
адрес [113].
Таблиця
15.4.
Характеристики
IP-адрес
різних класів
Ані
номер мережі, ані номер вузла не можуть
складатися лише з самих нулів або
одиниць. Якщо поле номера вузла заповнене
одиницями, то такий пакет є
широкомовним
(рос. — широковещательным, англ. —
broadcast);
його
отримують усі вузли із заданої мережі.
Є ще й спеціальні номери мереж. Наприклад,
якщо старший октет адреси дорівнює
127, ця адреса (Loopback)
вказує на інтерфейс тієї машини, яка
відправила пакет. Найпоширеніша з таких
адрес — 127.0.0.1, хоча можна використовувати
й інші. За стандартами Інтернету виділено
діапазони адрес для локальних мереж,
і пакети з такими адресами за жодних
обставин не можна обробляти маршрутизаторами
Інтернету. Для мереж класу А — це одна
мережа 10.0.0.0, для мереж класу В — 16
номерів мереж від 172.16.0.0 до 172.31.0.0, а у
класі С - це 256 мереж від 192.168.0.0 до
192.168.255.0.
Поділ
IP-
адреси на чотири байти та інтерпретація
кожного з них як окремого числа — це
лише форма запису, насправді ж IP-адреса
— це єдине 32-розрядне двійкове число.
Для раціональнішого використання
адресного простору замість стандартних
визначених класів мереж використовують
так звані
маски підмереж. Маска
має вигляд неперервної послідовності
одиниць, які відповідають розрядам IP-
адреси, що задають номер мережі, за якою
йде неперервна послідовність нулів,
що відповідають розрядам IP-
адреси, які задають номер вузла. Маску
записують так само, як і IP-адресу.
Наприклад, для мережі класу С маску
записують як 255.255.255.0. Але у масці
кількість одиниць не обов'язково має
бути кратною 8. Гак, коректною є маска
255.255.240.0 (20 одиниць і 12 нулів). З такою
маскою
Клас |
Старші біти |
Найменший номер мережі |
Найбільший номер мережі |
Примітка |
А |
0 |
1.0.0.0 |
126.0.0.0 |
|
В |
10 |
128.0.0.0 |
191.255.0.0 |
|
С |
110 |
192.0.1.0 |
223.255.255.0 |
|
D |
1110 |
224.0.0.0 |
239.255.255.255 |
Групові адреси |
Ε |
11110 |
240.0.0.0 |
247.255.255.255 |
Зареєстровані |
адресу 77.122.125.113 буде інтерпретовано як помер мережі 77.122.112.0 і номер вузла 0.0.13.113, а без цієї маски — як адреса класу А, тобто номер мережі 77.0.0.0 і номер вузла 0.122.125.113. Маски широко застосовують у маршрутизації для структурування мереж і виділення старшої частини адреси, так званого префікса, а також для зменшення об'ємів таблиць і підвищення продуктивності маршрутизаторів.
Нестача простору IP-адрес для Інтернету почала даватися взнаки вже досить давно. Тому в наступній версії протоколу IP, а саме IPv6, адресний простір було радикально розширено, а саму адресу структуровано. Детальніше нові можливості протоколу IPv6 розглянуто в розділі 16.
Доменні імена
Тепер розглянемо доменні імена. їх використання пов'язане не лише з особливостями сприйняття імен користувачами, яким значно легше запам'ятовувати і використовувати слова, ніж набори чисел. Ще одна перевага доменних імен полягає в тому, що вони утворюють логічно структурований простір імен, за допомогою яких можна отримати інформацію про належність того чи іншого ресурсу Інтернету до певної організації або країни.
Доменні імена не завжди однозначно відповідають IP-адресам. Одній ІР - адресі може відповідати кілька різних доменних імен, наприклад, коли різні ресурси фізично розміщені на одному сервері. Може статися, що одне доменне ім'я відповідає кільком IP-адресам, наприклад, коли для деякого ресурсу здійснюється розподіл навантаження між кількома серверами.
Доменні імена утворюють ієрархію у вигляді деревоподібної структури. Корінь дерева позначається символом крапки (.). Доменне ім'я містить щонайменше дві символьні частини (які називають мітками). Мітки відокремлюються одна від одної крапками. Ім'я записується від наймолодшої мітки (ліворуч) до найстаршої (праворуч). Найстарша мітка позначає так званий домен верхнього рівня. У системі доменних імен доменом (Domain) називають зону, виділену певній країні, організації тощо. Кожна наступна мітка (справа наліво) позначає домен, ієрархічно підпорядкований попередньому. У цьому контексті такий домен називають піддоменом (Subdomain). Загалом структура доменних імен подібна до ієрархічної файлової системи, де кожний каталог може мати свої підкаталоги.
Ієрархічна структура доменних імен відіграє важливу роль у забезпеченні унікальності імен в Інтернеті. Кореневим доменом керує центр InterNIC. Домени верхнього рівня призначають для кожної країни (наприклад, ua — для України, ru — для Російської Федерації), а також для певних типів організацій (наприклад, com — для комерційних структур, edu — для навчальних закладів, gov — для урядових організацій, org — для некомерційних організацій, net — для організацій, що підтримують мережі). Кожний домен адмініструє певна призначена для нього організація, яка, у свою чергу, розбиває його на піддомени і передає функції та відповідальність за адміністрування цих піддоменів іншим організаціям. Під адмініструванням тут слід розуміти, насамперед, розподіл доменних імен.
Теоретично поділ на піддомени може досягати углиб 127 рівнів, а будь-яка мітка може містити до 63 символів, але загальна довжина повного доменного імені
(Fully Qualified Domain Name, FQDN) разом із точками не може перевищувати 254 символів. На практиці ж реєстратори доменних імен застосовують більш суворі обмеження.
Служба доменних імен
С початку перетворення доменних імен на IP- адреси здійснювалося за допомогою спеціального файлу DHOSTS.TXT, який підтримувався централізовано і копії я кого вручну завантажувалися на кожну машину. Через зростання кількості хостів у Інтернеті такий механізм став неефективним, і на заміну йому прийшла централізована служба доменних імен, DNS.
DNS базується на розподіленій базі відображень доменне ім'я -ІР -адреса. Для кожного домену імен створюється свій DNS-сервер. Він може зберігати відображення імен для всього домену з піддоменами, але найчастіше зберігає лише імена, що знаходяться на наступному за ним (знизу) рівні ієрархії. Відповідальність за піддомени делегується іншим серверам. Для підвищення стійкості системи використовують дублювання серверів. Є 13 розміщених по всьому світі кореневих серверів, адреси яких ніколи не змінюються.
Запити на відображення імен здійснюються за протоколом DNS типу клієнт- сервер. Цей протокол використовує па серверах TCP- або UDP-порт 53. Традиційно запити і відповіді надсилаються у вигляді однієї UDP- дейтаграми. TCP рекомендується використовувати, щоб запобігти підробленню відповіді зловмисниками. Запити бувають двох типів: ітеративні та рекурсивні.
Ітеративні запити здійснюються таким чином. Клієнт здійснює запит до найближчого DNS-сервера (як правило, адреса DNS-сервера задається у параметрах мережного з'єднання). Якщо сервер не знає відповіді на запит, він надсилає відповідь, яка містить адресу того сервера, до якого слід звернутися з цим запитом. Якщо той сервер також не знає відповіді, він теж надсилає адресу наступного DNS- cepвepa. Якщо сервер відповідає за домен, що не є піддоменом вказаного у запиті домену, він переадресує клієнта до сервера, розташованого рівнем вище в тому самому домені. Зрештою, запит може бути здійснений до одного з кореневих серверів. Кореневий сервер також може не знати відповіді, але він переадресує клієнта у необхідний домен верхнього рівня, а там запит буде переадресовано нижче й нижче за ієрархією, аж доки той не потрапить до сервера, що є авторитетним для вказаного у запиті домену.
Рекурсивні запити здійснюються до серверів у тій самій послідовності, що й ітеративні, але у відповідь на рекурсивний запит сервер не переадресовує клієнта до інших серверів, а повертає йому остаточну відповідь (IP-адресу або повідомлення про помилку). У разі рекурсивного запиту від клієнта сервер має взяти па себе зобов'язання послідовно здійснювати ітеративні запити або, що також імовірно, передати наступному DNS-серверу рекурсивний запит. Убудовані DNS- клієнти прикладних програм (наприклад, браузерів) здійснюють лише рекурсивні запити.
Для прискорення пошуку ІР- адрес DNS- сервери застосовують процедуру кешування відповідей. Тому запит, як правило, не йде далі кеша DNS, який пам'ятає відповіді на запити, що проходили через нього раніше. Записи у кеші
зберігаються обмежений, але доволі тривалий проміжок часу (від кількох годин до кількох днів). Відтак у результаті змінення IP- адреси доступ до інтернет-ресурсу буде повністю відновлено лише після того, як на всіх серверах оновиться кеш DNS (на це потрібно близько двох діб).