Перепривязка DNS

Тип компьютерной атаки

Перепривязка DNS — это метод манипулирования разрешением доменных имен, который обычно используется как форма компьютерной атаки . В этой атаке вредоносная веб-страница заставляет посетителей запускать клиентский скрипт , который атакует машины в других местах сети. Теоретически политика одного и того же источника предотвращает это: клиентским скриптам разрешен доступ только к контенту на том же хосте, который обслуживал скрипт. Сравнение доменных имен является неотъемлемой частью реализации этой политики, поэтому перепривязка DNS обходит эту защиту, злоупотребляя системой доменных имен (DNS).

Эта атака может быть использована для взлома частной сети , заставляя веб-браузер жертвы получать доступ к компьютерам на частных IP-адресах и возвращать результаты злоумышленнику. Она также может быть использована для использования машины жертвы для рассылки спама , распределенных атак типа «отказ в обслуживании» или других вредоносных действий.

Как работает перепривязка DNS

Атакующий регистрирует домен (например, attacker.com) и делегирует его DNS-серверу , который находится под контролем атакующего. Сервер настроен на ответ с очень коротким временем жизни (TTL) , предотвращая кэширование ответа DNS . Когда жертва просматривает вредоносный домен, DNS-сервер атакующего сначала отвечает IP-адресом сервера, на котором размещен вредоносный клиентский код. Например, они могут направить браузер жертвы на веб-сайт, содержащий вредоносные скрипты JavaScript или Flash , которые предназначены для выполнения на компьютере жертвы.

Вредоносный клиентский код делает дополнительные доступы к исходному доменному имени (например, attacker.com). Это разрешено политикой одного и того же источника. Однако, когда браузер жертвы запускает скрипт, он делает новый DNS-запрос для домена, и злоумышленник отвечает новым IP-адресом. Например, они могут ответить внутренним IP-адресом или IP-адресом цели где-то еще в Интернете.

Защита

Следующие методы пытаются предотвратить атаки перепривязки DNS: ^{[1] [2] [3] [4]}

• DNS-серверы в цепочке могут отфильтровывать частные IP-адреса и петлевые IP-адреса :
  • Внешние публичные DNS-серверы (например, OpenDNS ) могут реализовать DNS-фильтрацию. ^[5]
  • Локальные системные администраторы могут настроить локальные серверы имен организации так, чтобы они блокировали преобразование внешних имен во внутренние IP-адреса. (Это имеет недостаток, поскольку позволяет злоумышленнику сопоставлять используемые диапазоны внутренних адресов.)
• Брандмауэр (например, dnswall ) на шлюзе или локальном компьютере может фильтровать проходящие через него ответы DNS, отбрасывая локальные адреса. ^{[6] [7]}
• Веб-браузеры могут противостоять повторной привязке DNS:
  • Веб-браузеры могут реализовать DNS pinning: ^[8] IP-адрес блокируется на значении, полученном в первом ответе DNS. Этот метод может блокировать некоторые законные использования Dynamic DNS и может не работать против всех атак. Однако важно обеспечить отказоустойчивость (остановить рендеринг), если IP-адрес изменится, поскольку использование IP-адреса после истечения срока TTL может открыть противоположную уязвимость, когда IP-адрес был законно изменен, а просроченный IP-адрес теперь может контролироваться злоумышленником.
  • Расширение NoScript для Firefox включает ABE — функцию браузера, подобную брандмауэру, которая в своей конфигурации по умолчанию предотвращает атаки на локальную сеть, запрещая внешним веб-страницам получать доступ к локальным IP-адресам.
• Веб-серверы могут отклонять HTTP- запросы с нераспознанным заголовком Host .

Смотрите также

• DNS-перехват
• DNS-спуфинг

Ссылки

1. «Защита браузеров от атак перепривязки DNS» (PDF) . crypto.stanford.edu . Ноябрь 2007 . Получено 10.12.2018 .
2. «Защита браузеров от атак перепривязки DNS» (PDF) . www.adambarth.com . Январь 2009 . Получено 10.12.2018 .
3. "DNS REBINDING" (PDF) . www.ptsecurity.com . 2012 . Получено 2018-12-10 .
4. «Защита маршрутизатора от возможных атак перепривязки DNS — блог TrendLabs Security Intelligence». blog.trendmicro.com . 2010-08-04 . Получено 2018-12-10 .
5. Улевич, Дэвид (2008-04-14). "Наконец-то, настоящее решение для атак перепривязки DNS". Cisco . Получено 2017-07-15 .
6. google-dnswall на GitHub
7. "Сервисы — DNS — Защита от перепривязки DNS | Документация pfSense". www.netgate.com . Получено 10.12.2018 .
8. "FireDrill: Интерактивная перепривязка DNS" (PDF) . www.usenix.org . Получено 10.12.2018 .

Внешние ссылки

• Защита браузеров от атак перепривязки DNS (2007)
• Обновление для усиления защиты DNS для Adobe Flash Player (2008)
• Безопасность Sun Alert 200041 для Sun JVM (2008-09-04)
• Перепривязка DNS с помощью Роберта RSnake Хансена (2009)