Azərbaycanca
Беларускі
Dansk
Deutsch
Española
Français
Indonesia
Italiana
日本語
Қазақ
Lietuvos
Nederlands
Português
Русский
සිංහල
แบบไทย
Türkçe
Українська
中國人
United State
Afrikaans
Перехоплення DNS — підрив дозволу DNS-запитів. Це може бути досягнуто з допомогою шкідливих програм, які перекривають (TCP/IP) конфігурації комп'ютера, щоб запити направлялися на DNS сервер зловмисника, або через зміну поведінки довіреного DNS сервера так, щоб воно не відповідало стандартам Інтернету. Ці зміни можуть бути зроблені у зловмисних цілях, таких як фішинг, або в корисливих цілях Інтернет-провайдерами (ISP), які перенаправляють вебтрафік користувачів на власні вебсервери для показу реклами, збору статистики або інших цілей; і постачальниками послуг DNS для блокування доступу до певних доменів як форма цензури.
Технічний відступ
Однією з функцій DNS сервера є конвертування доменних імен у IP-адреси, які потрібні для підключення до інтернет-ресурсу, такому як вебсайт. Ця функціональність визначена в різних офіційних інтернет-стандартах, що визначають протокол досить докладно. Комп'ютери з виходом в Інтернет довіряють DNS-серверам в коректній відповідності імен фактичними адресами, зареєстрованими власниками доменів в Інтернеті.
Сервери-шахраї DNS
Сервер-шахрай DNS переводить доменні імена популярних вебсайтів (пошукових систем, банків і т. д.) в IP-адреси сайтів з непередбачуваним вмістом, навіть шкідливих вебсайтів. Більшості користувачів DNS-сервери призначаються автоматично їх провайдерами. Комп'ютери-зомбі запускають трояни, непомітно змінюють адресу автоматично присвоєну провайдером DNS-сервера на DNS-сервер шахрая. Коли користувачі намагаються відвідати вебсайти, вони потрапляють на підроблений сайт. Така атака називається фармінг. Якщо шкідливий сайт, на який перенаправляються запити, маскуючись під легальний вебсайт, який намагається обманним шляхом отримати доступ до конфіденційної інформації, то це називається фішингом.
Маніпуляції провайдерів
Деякі провайдери, такі як OpenDNS, Cablevision's Optimum Online, Comcast, Time Warner, Cox Communications, RCN, Rogers, Charter Communications, Verizon, Virgin Media, Frontier Communications, Bell Sympatico, UPC, T-Online, Optus, Mediacom, ONO, TalkTalk і Bigpond (Telstra) використовують перенаправлення DNS в своїх цілях, наприклад для відображення реклами або збору статистики. Це порушує RFC стандарти для DNS (NXDOMAIN)-відповідей і може відкрити користувачам можливість міжсайтового скриптингу.
Перенаправлення DNS включає зміну відповіді NXDOMAIN. Інтернет- і інтранет-додатки покладаються на відповідь NXDOMAIN для опису стану, коли DNS не має запису для зазначеного вузла. Якщо ми запросили неіснуюче доменне ім'я (fakeexample.com), у відповідь ми повинні отримати NXDOMAIN-відповідь, яка інформує додаток про те, що ім'я неприпустимо і викликає відповідні заходи (наприклад, відображення помилки або відмова від підключення до сервера).
Так, якщо доменне ім'я запитується на одному з цих неіснуючих провайдерів, можна отримувати підроблену IP-адресу, що належить провайдеру. У веббраузері така поведінка може бути дратівливою або образливою, коли з'єднання з цією IP-адресою відображають провайдерські сторінки перенаправлення, іноді з рекламою, замість належного повідомлення про помилку. Однак, інші програми, які покладаються на помилку NXDOMAIN, замість цього будуть намагатися ініціювати з'єднання з цією підробленою IP-адресою, потенційно піддаючи ризику конфіденційну інформацію.
Приклади функціональності, яка пропадає, якщо провайдери перенаправляють DNS:
- Маршрутизовані ноутбуки, є членами домену Windows Server, помилково припускають, що вони повернулися в корпоративну мережу, тому що ресурси, такі як контролери домену, поштові сервери та інші об'єкти інфраструктури, стають доступні. Програми намагаються ініціювати з'єднання з цими корпоративними серверами, але зазнають невдачі, що призводить до погіршення продуктивності, непотрібного трафіку в Інтернеті і тайм-аутам.
- Багато малих офісів і більшість домашніх мереж не мають власного сервера DNS, покладаючись натомість на широкомовний дозвіл імен. Оскільки DNS-запити є більш пріоритетними, ніж локальне широкомовлення, всі імена будуть помилково відправлятись на сервери, що належать провайдеру, і локальна мережа працювати не буде.
- Браузери, такі як Firefox, не зможуть виконувати «пошук по імені» (коли ключові слова, набрані в адресному рядку, перенаправляють вас на найближчий знайдений сайт).
- Локальний DNS-клієнт, вбудований в сучасні операційні системи, буде кешувати результати DNS-пошуку для підвищення продуктивності. Якщо клієнт перемикається між домашньою мережею і VPN, помилкові записи можуть залишитися закешованими, тим самим створюючи перерви в обслуговуванні з'єднання VPN.
- Анти-спам рішення DNSBL засновані на DNS; тому помилкові результати DNS заважають правильній роботі DNSBL.
- Конфіденційні дані користувача можуть бути розкриті додатком, який ввів в оману провайдер, вдаючи, що сервіс, до якого він намагається підключиться, доступний.
- Пошукова система не зможе виправляти неправильно надруковані URL, спираючись на попередні вибори користувача, так як провайдер визначає, які результати пошуку відобразити користувачеві; додатки, такі як панель інструментів Google, не зможуть працювати коректно.
- Комп'ютери, налаштовані на використання роздільного тунелювання перестануть працювати з VPN-підключенням, тому що імена інтрамережі, які не повинні дозволятися поза тунелем в публічній мережі Інтернет, стануть дозволятися фіктивні адреси, замість того, щоб коректно дозволятися через VPN-тунель на приватному DNS-сервері при отриманні запису NXDOMAIN з Інтернету. Наприклад, поштовий клієнт, який намагається дозволити DNS запис типу А для внутрішнього поштового сервера, може отримати помилкову DNS-відповідь, яка направляє на платний вебсервер з чергою повідомлень на доставку у разі, якщо повторна передача була невдалою.
- Це порушує роботу WPAP (протоколу автоматичного налаштування проксі), змушуючи веббраузери помилково вважати, що провайдер має конфігурацію проксі-сервера.
- Це порушує роботу програмного забезпечення для контролю. Наприклад, якщо ми періодично звертаємося до сервера для перевірки працездатності, монітор не помітить підробки, поки не спробує перевірити криптографічний ключ сервера.
У деяких випадках провайдери надають конфігуровані абонентом налаштування для запобігання зміни NXDOMAIN-відповідей. Правильно реалізовані, такі налаштування повертають DNS до стандартної поведінки. Інші провайдери, однак, замість цього використовують куки браузера для зберігання вподобань. У цьому випадку проблема коректної поведінки не буде вирішена: DNS-запити продовжать перенаправлятися, а провайдерська сторінка перенаправлення замінюватися підробленими повідомленнями про помилку DNS. Інші програми, крім веббраузерів, можуть бути виключені зі схеми використання куки, схема фактично реалізована на нейтральній до протоколів DNS-системі.
Маніпуляції реєстраторів
Деякі реєстратори доменних імен, зокрема Name.com, виробляють перенаправлення DNS при невдалому пошуку доменних імен, незважаючи на заперечення проти цього ICANN і їх споживачів.
Рішення
У Великій Британії Інформаційний Офіс Комісарів встановив, що практика недобровільного DNS-перенаправлення суперечить PECR та Директиві ЄС 95/46 щодо захисту даних, які вимагають явної згоди для обробки комунікаційного трафіку. Однак, він відмовився втручатися, стверджуючи, що не було б розумно проводити закон, тому що це не буде завдавати істотної (або будь-якої) очевидної шкоди фізичним особам.
ICANN, міжнародна організація, що відповідає за управління доменними іменами верхнього рівня, опублікувала меморандум, підкресливши свою стурбованість і підтверджуючи: «ICANN суворо перешкоджає використанню перенаправлення DNS, символів підстановки, синтезованих відповідей і інших форм заміни NXDOMAIN в існуючих gTLD, ccTLD і на будь-якому іншому рівні в дереві DNS реєстрації класу доменних імен».
Див. також
- DHCP
- PPP (мережевий протокол)
- Атака TCP Reset
Посилання
- http://blog.trendmicro.com/trendlabs-security-intelligence/rogue-domain-name-system-servers-5breposted5d/ [ 10 квітня 2018 у Wayback Machine.]
- https://www.theregister.co.uk/2009/07/28/comcast_dns_hijacker/ [ 2 квітня 2018 у Wayback Machine.]
- http://infiniteedge.blogspot.ru/2009/10/who-stole-my-web-browser.html [ 10 квітня 2018 у Wayback Machine.]
- http://www.dslreports.com/shownews/Rogers-Uses-Deep-Packet-Inspection-for-DNS-Redirection-96239 [ 12 червня 2018 у Wayback Machine.]
- https://nodpi.org/forum/index.php/topic,2390.msg25643/topicseen.html[недоступне посилання з лютого 2019]
- https://nodpi.org/wp-content/uploads/2010/01/virgin_anes.pdf[недоступне посилання з лютого 2019]
- http://tech.slashdot.org/story/09/08/04/1512248/Bell-Starts-Hijacking-NX-Domain-Queries [ 12 червня 2018 у Wayback Machine.]
- https://www.reddit.com/r/programming/comments/9o3as/want_a_real_world_example_of_why_we_need_network/ [ 17 серпня 2015 у Wayback Machine.]
- https://host4geeks.com/blog/how-to-fix-dns_probe_finished_nxdomain-error-in-google-chrome/ [ 24 жовтня 2019 у Wayback Machine.]
Вікіпедія, Українська, Україна, книга, книги, бібліотека, стаття, читати, завантажити, безкоштовно, безкоштовно завантажити, mp3, відео, mp4, 3gp, jpg, jpeg, gif, png, малюнок, музика, пісня, фільм, книга, гра, ігри, мобільний, телефон, android, ios, apple, мобільний телефон, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, ПК, web, Інтернет
Perehoplennya DNS pidriv dozvolu DNS zapitiv Ce mozhe buti dosyagnuto z dopomogoyu shkidlivih program yaki perekrivayut TCP IP konfiguraciyi komp yutera shob zapiti napravlyalisya na DNS server zlovmisnika abo cherez zminu povedinki dovirenogo DNS servera tak shob vono ne vidpovidalo standartam Internetu Ci zmini mozhut buti zrobleni u zlovmisnih cilyah takih yak fishing abo v korislivih cilyah Internet provajderami ISP yaki perenapravlyayut vebtrafik koristuvachiv na vlasni vebserveri dlya pokazu reklami zboru statistiki abo inshih cilej i postachalnikami poslug DNS dlya blokuvannya dostupu do pevnih domeniv yak forma cenzuri Tehnichnij vidstupOdniyeyu z funkcij DNS servera ye konvertuvannya domennih imen u IP adresi yaki potribni dlya pidklyuchennya do internet resursu takomu yak vebsajt Cya funkcionalnist viznachena v riznih oficijnih internet standartah sho viznachayut protokol dosit dokladno Komp yuteri z vihodom v Internet doviryayut DNS serveram v korektnij vidpovidnosti imen faktichnimi adresami zareyestrovanimi vlasnikami domeniv v Interneti Serveri shahrayi DNS Server shahraj DNS perevodit domenni imena populyarnih vebsajtiv poshukovih sistem bankiv i t d v IP adresi sajtiv z neperedbachuvanim vmistom navit shkidlivih vebsajtiv Bilshosti koristuvachiv DNS serveri priznachayutsya avtomatichno yih provajderami Komp yuteri zombi zapuskayut troyani nepomitno zminyuyut adresu avtomatichno prisvoyenu provajderom DNS servera na DNS server shahraya Koli koristuvachi namagayutsya vidvidati vebsajti voni potraplyayut na pidroblenij sajt Taka ataka nazivayetsya farming Yaksho shkidlivij sajt na yakij perenapravlyayutsya zapiti maskuyuchis pid legalnij vebsajt yakij namagayetsya obmannim shlyahom otrimati dostup do konfidencijnoyi informaciyi to ce nazivayetsya fishingom Manipulyaciyi provajderiv Deyaki provajderi taki yak OpenDNS Cablevision s Optimum Online Comcast Time Warner Cox Communications RCN Rogers Charter Communications Verizon Virgin Media Frontier Communications Bell Sympatico UPC T Online Optus Mediacom ONO TalkTalk i Bigpond Telstra vikoristovuyut perenapravlennya DNS v svoyih cilyah napriklad dlya vidobrazhennya reklami abo zboru statistiki Ce porushuye RFC standarti dlya DNS NXDOMAIN vidpovidej i mozhe vidkriti koristuvacham mozhlivist mizhsajtovogo skriptingu Perenapravlennya DNS vklyuchaye zminu vidpovidi NXDOMAIN Internet i intranet dodatki pokladayutsya na vidpovid NXDOMAIN dlya opisu stanu koli DNS ne maye zapisu dlya zaznachenogo vuzla Yaksho mi zaprosili neisnuyuche domenne im ya fakeexample com u vidpovid mi povinni otrimati NXDOMAIN vidpovid yaka informuye dodatok pro te sho im ya nepripustimo i viklikaye vidpovidni zahodi napriklad vidobrazhennya pomilki abo vidmova vid pidklyuchennya do servera Tak yaksho domenne im ya zapituyetsya na odnomu z cih neisnuyuchih provajderiv mozhna otrimuvati pidroblenu IP adresu sho nalezhit provajderu U vebbrauzeri taka povedinka mozhe buti drativlivoyu abo obrazlivoyu koli z yednannya z ciyeyu IP adresoyu vidobrazhayut provajderski storinki perenapravlennya inodi z reklamoyu zamist nalezhnogo povidomlennya pro pomilku Odnak inshi programi yaki pokladayutsya na pomilku NXDOMAIN zamist cogo budut namagatisya iniciyuvati z yednannya z ciyeyu pidroblenoyu IP adresoyu potencijno piddayuchi riziku konfidencijnu informaciyu Prikladi funkcionalnosti yaka propadaye yaksho provajderi perenapravlyayut DNS Marshrutizovani noutbuki ye chlenami domenu Windows Server pomilkovo pripuskayut sho voni povernulisya v korporativnu merezhu tomu sho resursi taki yak kontroleri domenu poshtovi serveri ta inshi ob yekti infrastrukturi stayut dostupni Programi namagayutsya iniciyuvati z yednannya z cimi korporativnimi serverami ale zaznayut nevdachi sho prizvodit do pogirshennya produktivnosti nepotribnogo trafiku v Interneti i tajm autam Bagato malih ofisiv i bilshist domashnih merezh ne mayut vlasnogo servera DNS pokladayuchis natomist na shirokomovnij dozvil imen Oskilki DNS zapiti ye bilsh prioritetnimi nizh lokalne shirokomovlennya vsi imena budut pomilkovo vidpravlyatis na serveri sho nalezhat provajderu i lokalna merezha pracyuvati ne bude Brauzeri taki yak Firefox ne zmozhut vikonuvati poshuk po imeni koli klyuchovi slova nabrani v adresnomu ryadku perenapravlyayut vas na najblizhchij znajdenij sajt Lokalnij DNS kliyent vbudovanij v suchasni operacijni sistemi bude keshuvati rezultati DNS poshuku dlya pidvishennya produktivnosti Yaksho kliyent peremikayetsya mizh domashnoyu merezheyu i VPN pomilkovi zapisi mozhut zalishitisya zakeshovanimi tim samim stvoryuyuchi perervi v obslugovuvanni z yednannya VPN Anti spam rishennya DNSBL zasnovani na DNS tomu pomilkovi rezultati DNS zavazhayut pravilnij roboti DNSBL Konfidencijni dani koristuvacha mozhut buti rozkriti dodatkom yakij vviv v omanu provajder vdayuchi sho servis do yakogo vin namagayetsya pidklyuchitsya dostupnij Poshukova sistema ne zmozhe vipravlyati nepravilno nadrukovani URL spirayuchis na poperedni vibori koristuvacha tak yak provajder viznachaye yaki rezultati poshuku vidobraziti koristuvachevi dodatki taki yak panel instrumentiv Google ne zmozhut pracyuvati korektno Komp yuteri nalashtovani na vikoristannya rozdilnogo tunelyuvannya perestanut pracyuvati z VPN pidklyuchennyam tomu sho imena intramerezhi yaki ne povinni dozvolyatisya poza tunelem v publichnij merezhi Internet stanut dozvolyatisya fiktivni adresi zamist togo shob korektno dozvolyatisya cherez VPN tunel na privatnomu DNS serveri pri otrimanni zapisu NXDOMAIN z Internetu Napriklad poshtovij kliyent yakij namagayetsya dozvoliti DNS zapis tipu A dlya vnutrishnogo poshtovogo servera mozhe otrimati pomilkovu DNS vidpovid yaka napravlyaye na platnij vebserver z chergoyu povidomlen na dostavku u razi yaksho povtorna peredacha bula nevdaloyu Ce porushuye robotu WPAP protokolu avtomatichnogo nalashtuvannya proksi zmushuyuchi vebbrauzeri pomilkovo vvazhati sho provajder maye konfiguraciyu proksi servera Ce porushuye robotu programnogo zabezpechennya dlya kontrolyu Napriklad yaksho mi periodichno zvertayemosya do servera dlya perevirki pracezdatnosti monitor ne pomitit pidrobki poki ne sprobuye pereviriti kriptografichnij klyuch servera U deyakih vipadkah provajderi nadayut konfigurovani abonentom nalashtuvannya dlya zapobigannya zmini NXDOMAIN vidpovidej Pravilno realizovani taki nalashtuvannya povertayut DNS do standartnoyi povedinki Inshi provajderi odnak zamist cogo vikoristovuyut kuki brauzera dlya zberigannya vpodoban U comu vipadku problema korektnoyi povedinki ne bude virishena DNS zapiti prodovzhat perenapravlyatisya a provajderska storinka perenapravlennya zaminyuvatisya pidroblenimi povidomlennyami pro pomilku DNS Inshi programi krim vebbrauzeriv mozhut buti viklyucheni zi shemi vikoristannya kuki shema faktichno realizovana na nejtralnij do protokoliv DNS sistemi Manipulyaciyi reyestratoriv Deyaki reyestratori domennih imen zokrema Name com viroblyayut perenapravlennya DNS pri nevdalomu poshuku domennih imen nezvazhayuchi na zaperechennya proti cogo ICANN i yih spozhivachiv RishennyaU Velikij Britaniyi Informacijnij Ofis Komisariv vstanoviv sho praktika nedobrovilnogo DNS perenapravlennya superechit PECR ta Direktivi YeS 95 46 shodo zahistu danih yaki vimagayut yavnoyi zgodi dlya obrobki komunikacijnogo trafiku Odnak vin vidmovivsya vtruchatisya stverdzhuyuchi sho ne bulo b rozumno provoditi zakon tomu sho ce ne bude zavdavati istotnoyi abo bud yakoyi ochevidnoyi shkodi fizichnim osobam ICANN mizhnarodna organizaciya sho vidpovidaye za upravlinnya domennimi imenami verhnogo rivnya opublikuvala memorandum pidkreslivshi svoyu sturbovanist i pidtverdzhuyuchi ICANN suvoro pereshkodzhaye vikoristannyu perenapravlennya DNS simvoliv pidstanovki sintezovanih vidpovidej i inshih form zamini NXDOMAIN v isnuyuchih gTLD ccTLD i na bud yakomu inshomu rivni v derevi DNS reyestraciyi klasu domennih imen Div takozhDHCP PPP merezhevij protokol Ataka TCP ResetPosilannyahttp blog trendmicro com trendlabs security intelligence rogue domain name system servers 5breposted5d 10 kvitnya 2018 u Wayback Machine https www theregister co uk 2009 07 28 comcast dns hijacker 2 kvitnya 2018 u Wayback Machine http infiniteedge blogspot ru 2009 10 who stole my web browser html 10 kvitnya 2018 u Wayback Machine http www dslreports com shownews Rogers Uses Deep Packet Inspection for DNS Redirection 96239 12 chervnya 2018 u Wayback Machine https nodpi org forum index php topic 2390 msg25643 topicseen html nedostupne posilannya z lyutogo 2019 https nodpi org wp content uploads 2010 01 virgin anes pdf nedostupne posilannya z lyutogo 2019 http tech slashdot org story 09 08 04 1512248 Bell Starts Hijacking NX Domain Queries 12 chervnya 2018 u Wayback Machine https www reddit com r programming comments 9o3as want a real world example of why we need network 17 serpnya 2015 u Wayback Machine https host4geeks com blog how to fix dns probe finished nxdomain error in google chrome 24 zhovtnya 2019 u Wayback Machine