DNS-спуфинг

Кибератака с использованием поврежденных данных DNS

Подмена DNS , также называемая отравлением кэша DNS , является формой взлома компьютерной безопасности , при которой поврежденные данные системы доменных имен вводятся в кэш DNS -резолвера , заставляя сервер имен возвращать неверную запись результата, например IP-адрес . Это приводит к перенаправлению трафика на любой компьютер, который выберет злоумышленник.

Обзор системы доменных имен

Сервер системы доменных имен преобразует понятное человеку доменное имя (например, example.com) в числовой IP-адрес , который используется для маршрутизации коммуникаций между узлами . ^[1] Обычно, если сервер не знает запрошенного перевода, он запрашивает его у другого сервера, и процесс продолжается рекурсивно . Для повышения производительности сервер обычно запоминает (кэширует) эти переводы на определенное время. Это означает, что если он получает еще один запрос на тот же перевод, он может ответить, не спрашивая никаких других серверов, пока не истечет срок действия этого кэша.

Когда DNS-сервер получает ложный перевод и кэширует его для оптимизации производительности, он считается отравленным и предоставляет ложные данные клиентам. Если DNS-сервер отравлен, он может возвращать неверный IP-адрес, перенаправляя трафик на другой компьютер (часто атакующий). ^[2]

Атаки отравления кэша

Обычно сетевой компьютер использует DNS-сервер, предоставляемый поставщиком услуг Интернета (ISP) или организацией пользователя компьютера. DNS-серверы используются в сети организации для улучшения производительности ответа на разрешение путем кэширования ранее полученных результатов запроса. Атаки отравления на один DNS-сервер могут повлиять на пользователей, обслуживаемых напрямую скомпрометированным сервером или косвенно обслуживаемых его нижестоящим сервером(ами), если применимо. ^[3]

Для выполнения атаки с отравлением кэша злоумышленник использует недостатки в программном обеспечении DNS. Сервер должен правильно проверять ответы DNS, чтобы гарантировать, что они исходят из авторитетного источника (например, с помощью DNSSEC ); в противном случае сервер может кэшировать неверные записи локально и предоставлять их другим пользователям, которые делают тот же запрос.

Эта атака может быть использована для перенаправления пользователей с веб-сайта на другой сайт по выбору злоумышленника. Например, злоумышленник подделывает записи DNS IP-адреса для целевого веб-сайта на заданном DNS-сервере и заменяет их IP-адресом сервера, находящегося под его контролем. Затем злоумышленник создает файлы на сервере, находящемся под его контролем, с именами, совпадающими с именами на целевом сервере. Эти файлы обычно содержат вредоносный контент, такой как компьютерные черви или вирусы . Пользователь, чей компьютер ссылается на отравленный DNS-сервер, обманывается и принимает контент, поступающий с неаутентичного сервера, и неосознанно загружает вредоносный контент. Этот метод также может быть использован для фишинговых атак, когда создается поддельная версия настоящего веб-сайта для сбора личных данных, таких как данные банка и кредитной/дебетовой карты.

Уязвимость систем к отравлению кэша DNS выходит за рамки его непосредственных эффектов, поскольку она может открыть пользователей для дополнительных рисков, таких как фишинг , внедрение вредоносного ПО , отказ в обслуживании и захват веб-сайта из-за уязвимостей системы. Различные методы, начиная от использования тактики социальной инженерии и заканчивая эксплуатацией слабостей, присутствующих в программном обеспечении DNS-сервера, могут привести к этим атакам. ^[4]

Варианты

В следующих вариантах записи для сервераns.цель .примербудет отравлен и перенаправлен на сервер имен злоумышленника по IP-адресу wxyz . Эти атаки предполагают, что сервер имен дляцель.примерявляетсяns.целевой.пример.

Для осуществления атак злоумышленник должен заставить целевой DNS-сервер сделать запрос на домен, контролируемый одним из серверов имен злоумышленника. ^{[ необходима цитата ]}

Перенаправить сервер имен целевого домена

Первый вариант отравления кэша DNS заключается в перенаправлении сервера имен домена злоумышленника на сервер имен целевого домена, а затем назначении этому серверу имен IP-адреса, указанного злоумышленником.

Запрос DNS-сервера: каковы адресные записи дляподдомен.атакующий.пример?

поддомен.атакующий.пример. В A  

Ответ злоумышленника:

• Отвечать:

(нет ответа)

• Раздел полномочий:

пример.атакующего. 3600 IN NS ns.цель.пример.    

• Дополнительный раздел:

ns.целевой.пример.IN A w.xyz​   

Уязвимый сервер будет кэшировать дополнительную A-запись (IP-адрес) дляns.целевой.пример, что позволяет злоумышленнику разрешать запросы ко всемуцель.примердомен.

Перенаправить запись NS на другой целевой домен

Второй вариант отравления кэша DNS заключается в перенаправлении сервера имен другого домена, не связанного с исходным запросом, на IP-адрес, указанный злоумышленником. ^{[ необходима цитата ]}

Запрос DNS-сервера: каковы адресные записи дляподдомен.атакующий.пример?

поддомен.атакующий.пример. В A  

Ответ злоумышленника:

• Отвечать:

(нет ответа)

• Раздел полномочий:

цель.пример. 3600 IN NS ns.атакующий.пример.    

• Дополнительный раздел:

ns.attacker.example.IN A w.xyz​   

Уязвимый сервер будет кэшировать несвязанную информацию о полномочиях дляцель.примерNS-запись (запись сервера имен), позволяющая злоумышленнику разрешать запросы ко всемуцель.примердомен.

Предотвращение и смягчение последствий

Многие атаки отравления кэша на DNS-серверы можно предотвратить, если меньше доверять информации, передаваемой им другими DNS-серверами, и игнорировать любые переданные обратно записи DNS, которые не имеют прямого отношения к запросу. Например, версии BIND 9.5.0-P1 ^[5] и выше выполняют эти проверки. ^[6] Рандомизация исходного порта для DNS-запросов в сочетании с использованием криптографически безопасных случайных чисел для выбора как исходного порта, так и 16-битного криптографического одноразового номера может значительно снизить вероятность успешных атак DNS-гонки. ^{[ необходима цитата ]}

Однако, когда маршрутизаторы, брандмауэры , прокси и другие шлюзовые устройства выполняют трансляцию сетевых адресов (NAT) или, более конкретно, трансляцию адресов портов (PAT), они могут переписывать исходные порты для отслеживания состояния соединения. При изменении исходных портов устройства PAT могут удалять случайность исходного порта, реализованную серверами имен и резольверами-заглушками. ^{[ необходима цитата ] [7]}

Secure DNS ( DNSSEC ) использует криптографические цифровые подписи, подписанные с помощью доверенного сертификата открытого ключа, для определения подлинности данных. DNSSEC может противостоять атакам отравления кэша. В 2010 году DNSSEC был реализован на серверах корневой зоны Интернета., ^[8] но его также необходимо развернуть на всех серверах доменов верхнего уровня . Готовность DNSSEC для них показана в списке доменов верхнего уровня Интернета . По состоянию на 2020 год все исходные TLD поддерживают DNSSEC, как и национальные TLD большинства крупных стран, но многие национальные TLD по-прежнему этого не делают.

Этот вид атаки может быть смягчен на транспортном уровне или уровне приложений путем выполнения сквозной проверки после установки соединения. Типичным примером этого является использование Transport Layer Security и цифровых подписей . Например, используя HTTPS (безопасная версия HTTP ), пользователи могут проверить, является ли цифровой сертификат сервера действительным и принадлежит ли он ожидаемому владельцу веб-сайта. Аналогичным образом, программа удаленного входа в защищенную оболочку проверяет цифровые сертификаты на конечных точках (если они известны) перед продолжением сеанса. Для приложений, которые автоматически загружают обновления, приложение может встроить копию сертификата подписи локально и проверить подпись, сохраненную в обновлении программного обеспечения, по встроенному сертификату. ^[9]

Смотрите также

• DNS-перехват
• Перепривязка DNS
• Маузезан
• Фарминг
• Корневой сервер имен
• Дэн Камински

Ссылки

1. У, Хао; Данг, Сянлей; Ван, Лидун; Хэ, Лунтао (2016). «Метод на основе слияния информации для обнаружения и идентификации атак отравления кэша распределенной системы доменных имен». IET Information Security . 10 (1): 37–44. doi :10.1049/iet-ifs.2014.0386. ISSN  1751-8717. S2CID  45091791.
2. Сон, Суел; Шматиков, Виталий. «The Hitchhiker's Guide to DNS Cache Poisoning» (PDF) . Корнелльский университет . Архивировано (PDF) из оригинала 14 августа 2017 г. . Получено 3 апреля 2017 г. .
3. Стормс, Эндрю (2006). «Не доверяйте методологии распространения программного обеспечения вашего поставщика». Information Systems Security . 14 (6): 38–43. doi :10.1201/1086.1065898X/45782.14.6.20060101/91858.8. S2CID  15167573 – через ProQuest Central.
4. m. Dissanayake, IM (2018). «Отравление кэша DNS: обзор его техники и мер противодействия». Национальная конференция по информационным технологиям (NITC) 2018 г. стр. 1–6. doi :10.1109/NITC.2018.8550085. ISBN 978-1-5386-9136-6. Получено 31 января 2024 г. .
5. "BIND Security Matrix". ISC Bind . Архивировано из оригинала 11 ноября 2011 г. Получено 11 мая 2011 г.
6. "ISC Bind Security". ISC Bind . Архивировано из оригинала 11 ноября 2011 г. Получено 11 мая 2011 г.
7. Диринг, Кристофер (2019). «Персональная информация как вектор атаки: почему конфиденциальность должна быть оперативным измерением национальной безопасности США †». Журнал права и политики национальной безопасности . 10 : 351–403. ProQuest  2395864954 – через ProQuest.
8. "Root DNSSEC". ICANN/Verisign. стр. 1. Архивировано из оригинала 10 сентября 2017 г. Получено 5 января 2012 г.
9. "Правильная конфигурация для защиты вашего сервера". IONOS Digitalguide . Получено 29 апреля 2022 г.