Подмена DNS - DNS spoofing
Эта статья нужны дополнительные цитаты для проверка.Январь 2012 г.) (Узнайте, как и когда удалить этот шаблон сообщения) ( |
Подмена DNS, также называемый Отравление кеша DNS, это форма компьютерной безопасности взлом в котором коррумпированы система доменных имен данные вводятся в Преобразователь DNS с тайник, вызывая сервер имен чтобы вернуть неверную запись результата, например ан айпи адрес. Это приводит к перенаправляется трафик на компьютер злоумышленника (или любой другой компьютер).
Обзор системы доменных имен
А Сервер системы доменных имен переводит удобочитаемый доменное имя (Такие как example.com
) в числовой айпи адрес что привык к маршрут связь между узлы. Обычно, если сервер не знает запрошенного перевода, он запрашивает другой сервер, и процесс продолжается. рекурсивно. Для повышения производительности сервер обычно запоминает (кэширует) эти переводы в течение определенного времени. Это означает, что если он получает другой запрос на тот же перевод, он может ответить без необходимости запрашивать какие-либо другие серверы, пока этот кеш не истечет.
Когда DNS-сервер получил ложный перевод и кэширует его для оптимизации производительности, это считается отравлен, и он предоставляет клиентам ложные данные. Если DNS-сервер заражен, он может вернуть неверный IP-адрес, перенаправляя трафик на другой компьютер (часто злоумышленник).[1]
Атаки отравления кеша
Обычно сетевой компьютер использует DNS-сервер, предоставленный поставщиком услуг Интернета (ISP) или организацией пользователя компьютера. DNS-серверы используются в сети организации для повышения производительности ответа при разрешении путем кэширования ранее полученных результатов запроса. Отравляющие атаки на один DNS-сервер могут затронуть пользователей, обслуживаемых напрямую скомпрометированным сервером, или пользователей, обслуживаемых косвенно его (-ами) нижестоящими серверами, если применимо.[2]
Чтобы выполнить атаку с отравлением кеша, злоумышленник подвиги недостатки в программном обеспечении DNS. Сервер должен правильно проверять ответы DNS, чтобы убедиться, что они получены из надежного источника (например, с помощью DNSSEC ); в противном случае сервер может в конечном итоге кэшировать неправильные записи локально и передать их другим пользователям, которые сделают тот же запрос.
Эта атака может использоваться для перенаправления пользователей с веб-сайта на другой сайт по выбору злоумышленника. Например, злоумышленник обман записи DNS IP-адреса для целевого веб-сайта на данном DNS-сервере и заменяют их IP-адресом сервера, находящегося под их контролем. Затем злоумышленник создает файлы на сервере под своим контролем с именами, соответствующими именам на целевом сервере. Эти файлы обычно содержат злой контент, такой как компьютерные черви или же вирусы. Пользователь, чей компьютер обратился к зараженному DNS-серверу, обманом принимает контент, поступающий с неаутентичного сервера, и неосознанно загружает вредоносный контент. Этот метод также можно использовать для фишинг атаки, при которых создается поддельная версия настоящего веб-сайта для сбора личных данных, таких как данные банка и кредитной / дебетовой карты.
Варианты
В следующих вариантах записи для сервера ns.target.пример будет отравлен и перенаправлен на сервер имен злоумышленника по IP-адресу w.x.y.z. Эти атаки предполагают, что сервер имен для target.example является ns.target.example.[нужна цитата ]
Для совершения атак злоумышленник должен заставить целевой DNS-сервер сделать запрос домена, контролируемого одним из серверов имен злоумышленника.[нужна цитата ]
Перенаправить сервер имен целевого домена
Первый вариант отравления кеша DNS включает перенаправление сервера имен домена злоумышленника на сервер имен целевого домена, а затем присвоение этому серверу имен IP-адрес, указанный злоумышленником.
Запрос DNS-сервера: для чего нужны записи адреса subdomain.attacker.example?
subdomain.attacker.example. В
Ответ злоумышленника:
Ответ: (нет ответа) Раздел полномочий: attacker.example. 3600 IN NS ns.target.example.Дополнительный раздел: ns.target.example. IN A w.x.y.z
Уязвимый сервер кэширует дополнительную A-запись (IP-адрес) для ns.target.example, позволяя злоумышленнику разрешать запросы ко всему target.example домен.
Перенаправить NS-запись в другой целевой домен
Второй вариант отравления кеша DNS включает перенаправление сервера имен другого домена, не связанного с исходным запросом, на IP-адрес, указанный злоумышленником.[нужна цитата ]
Запрос DNS-сервера: для чего нужны записи адреса subdomain.attacker.example?
subdomain.attacker.example. В
Ответ злоумышленника:
Ответ: (нет ответа) Раздел полномочий: target.example. 3600 IN NS ns.attacker.example. Дополнительная секция: ns.attacker.example. IN A w.x.y.z
Уязвимый сервер будет кэшировать несвязанную информацию о полномочиях для target.exampleNS-запись (запись сервера имен), позволяющая злоумышленнику разрешать запросы ко всему target.example домен.
Профилактика и смягчение последствий
Многие атаки с отравлением кеша на DNS-серверы можно предотвратить, если меньше доверять информации, передаваемой им другими DNS-серверами, и игнорировать любые переданные DNS-записи, которые не имеют прямого отношения к запросу. Например, версии СВЯЗЫВАТЬ 9.5.0-П1[3] и выше выполните эти проверки.[4] Рандомизация исходного порта для DNS-запросов в сочетании с использованием криптографически безопасных случайных чисел для выбора как исходного порта, так и 16-битного криптографический одноразовый номер, может значительно снизить вероятность успешных атак DNS-гонок.
Однако, когда маршрутизаторы, брандмауэры, прокси-серверы и другие шлюзовые устройства работают преобразование сетевых адресов (NAT) или, более конкретно, преобразование адресов порта (PAT), они могут переписывать исходные порты, чтобы отслеживать состояние соединения. При изменении исходных портов устройства PAT могут удалять случайность исходного порта, реализованную серверами имен и преобразователями заглушек.[нужна цитата ]
Безопасный DNS (DNSSEC ) использует криптографические цифровые подписи, подписанные доверенным сертификат открытого ключа для определения подлинности данных. DNSSEC может противостоять атакам отравления кеша. В 2010 году DNSSEC был внедрен на серверах корневой зоны Интернета.[5], но необходимо развернуть на всех домен верхнего уровня серверы тоже. Их готовность к DNSSEC показана на список интернет-доменов верхнего уровня. По состоянию на 2020 год все исходные TLD поддерживают DNSSEC, как и TLD с кодом страны в большинстве крупных стран, но многие TLD с кодом страны по-прежнему не поддерживают.
Атаки такого типа можно смягчить на транспортный уровень или же прикладной уровень путем выполнения сквозной проверки после установления соединения. Типичным примером этого является использование Безопасность транспортного уровня и цифровые подписи. Например, используя HTTPS (безопасная версия HTTP ), пользователи могут проверить, действителен ли цифровой сертификат сервера и принадлежит ли он предполагаемому владельцу веб-сайта. Точно так же безопасная оболочка программа удаленного входа в систему проверяет цифровые сертификаты на конечных точках (если они известны), прежде чем продолжить сеанс. Для приложений, которые загружают обновления автоматически, приложение может встроить копию сертификата подписи локально и проверить подпись, хранящуюся в обновлении программного обеспечения, по встроенному сертификату.[нужна цитата ]
Смотрите также
Рекомендации
- ^ Сын Суэл; Шматиков, Виталий. "Автостопом по отравлению кеша DNS" (PDF). Корнелл Университет. Получено 3 апреля 2017.
- ^ Штормы, Эндрю (2006). «Не доверяйте методологии распространения программного обеспечения вашего поставщика». Безопасность информационных систем. 14 (6): 38–43 - через ProQuest Central.
- ^ «Матрица безопасности BIND». ISC Bind. Архивировано из оригинал 11 ноября 2011 г.. Получено 11 мая 2011.
- ^ "Безопасность привязки ISC". ISC Bind. Архивировано из оригинал 11 ноября 2011 г.. Получено 11 мая 2011.
- ^ "Корневой DNSSEC". ICANN / Verisign. п. 1. Получено 5 января 2012.