Dynamic DNS (DDNS, динамическая система доменных имен) — это сервис, который обеспечивает соответствие между постоянным доменным именем и динамическим IP-адресом. DDNS может использоваться, например, для удобного управления роутером или веб-камерой, доступа к домашнему игровому серверу или удаленному компьютеру.
Поставщики DDNS-сервисов могут предлагать платные и бесплатные услуги. Часто у них есть набор зарегистрированных на компанию доменов второго уровня (например, hopto.com или ddns.net), под которыми пользователи могут зарегистрировать любой свободный домен третьего уровня и ниже (например, example.hopto.com). Также некоторые сервисы позволяют использовать собственный домен второго уровня (например, example.com) вместо одного из доменов поставщика DDNS.
Зачем нужен Dynamic DNS
Устройства в интернете опознаются по IP-адресам. Когда пользователь пытается открыть сайт, например encyclopedia.kaspersky.ru, клиент (например, браузер) сначала отправляет запрос в систему доменных имен (DNS), которая находит IP-адрес сервера сайта и возвращает его клиенту, чтобы тот мог подключиться к серверу по этому адресу.
Поскольку перечень подключенных к сети устройств постоянно меняется — одни пользователи отключаются, другие подключаются, — интернет-провайдеры в основном используют динамическую адресацию в сети. Соответственно, у подключенных устройств время от времени может меняться IP-адрес.
В системе DNS хранится огромное количество соответствий доменных имен и IP-адресов, распределенных по множеству серверов по всему миру. После смены IP-адреса сервера необходимо обновлять связи в DNS, что может занять продолжительное время.
Сервис Dynamic DNS позволяет закрепить динамический IP-адрес за определенным доменным именем. Таким образом, к веб-сайту, камере, игровому серверу или роутеру можно подключиться удаленно, несмотря на периодическое изменение IP. При этом владельцу доменного имени не нужно вручную обновлять данные в DNS при каждой смене адреса.
Dynamic DNS во вредоносных кампаниях
APT-группировки могут использовать DDNS-сервисы, чтобы скрывать IP-адреса своих C&C-серверов или, например, лендингов, распространяющих вредоносное ПО. Таким образом они пытаются затруднить обнаружение и блокировку вредоносных ресурсов по IP-адресу. В свою очередь, чтобы избежать блокировки по домену, киберпреступники могут генерировать случайные поддомены под одним DDNS-доменом, так как часто сам домен DDNS-сервиса (например, No-IP, DynDNS, Duck DNS) является чистым и не детектируется, как и его поддомены, за которыми не было замечено вредоносной активности.
Кроме того, аккаунт пользователя DDNS-сервиса могут взломать, как и любой аккаунт. Получив доступ к DDNS-аккаунту, злоумышленники могут перенаправлять посетителей легитимного домена на вредоносный сервер.