Azərbaycanca
Беларускі
Dansk
Deutsch
Española
Français
Indonesia
Italiana
日本語
Қазақ
Lietuvos
Nederlands
Português
Русский
සිංහල
แบบไทย
Türkçe
Українська
中國人
United State
Afrikaans
DNS-спуфінг, є однією з форм злому комп'ютерних мереж, в якому дані DNS-відповіді змінюються зловмисником, з метою повернення помилкової IP-адреси. Це призводить до атаки посередника з метою перенаправлення даних на комп'ютер зловмисника (або будь-який інший комп'ютер). Є одним з способів фармінгу.
Огляд системи доменних імен
DNS-сервери зіставляють зручні для читання доменні імена (наприклад, example.com) з IP-адресою, яка використовується для маршрутизації повідомлень між вузлами. Зазвичай, якщо сервер не знає даної IP-адреси, він виконує запит до іншого сервера, і процес триває рекурсивно. Для збільшення продуктивності, сервер, як правило, зберігає (кешує) значення IP-адреси і доменного імені на певний проміжок часу. Це означає, що якщо він отримує ще один запит на той самий запис, він зможе відповісти без необхідності запитувати інші сервери, до закінчення терміну дії кешу.
Коли DNS-сервер отримує помилкове значення IP адреси і кешує його для оптимізації продуктивності, це значення вважається отруйним, і сервер подає неправдиві відомості клієнтам. Якщо DNS-сервер отруєний, він може повертати невірну IP-адресу, передаючи трафік на інший комп'ютер (частіше зловмисника).
Отруєння кешу
Як правило, мережевий комп'ютер використовує DNS-сервери, що надаються Інтернет-провайдером (ISP) або власний сервер організації. DNS-сервери використовуються в організації мережі, щоб поліпшити продуктивність за рахунок кешування раніше отриманих результатів. Отруєння кешу на одному DNS-сервері може вплинути на користувачів, що обслуговуються безпосередньо на віддаленому сервері або тих, хто обслуговується даним сервером.
Щоб виконати отруєння кешу, зловмисник експлуатує недоліки програмного забезпечення сервера DNS. Сервер повинен правильно перевірити DNS відповіді, щоб переконатися, що вони належать надійному джерелу (наприклад, з допомогою DNSSEC); у противному випадку сервер може кешувати невірні записи локально і надавати іншим користувачам, які здійснюють запит.
Ця атака може бути використана для перенаправлення користувачів з сайту на інший сайт за вибором зловмисника. Наприклад, зловмисник підміняє IP-адреса вебсайту на даному DNS-сервері і замінює його IP-адресу сервера під власним контролем. Зловмисник створює файли на власному сервері з іменами, що збігаються з тими, що знаходяться на цільовому сервері. Ці файли зазвичай містять шкідливий контент, такий як комп'ютерні черв'яки або віруси.
Користувач, чий комп'ютер посилається на отруєні DNS-сервери обманом отримує контент, що надходить від неавторизованого сервера і несвідомо завантажує шкідливий контент. Цей метод може також використовуватися для фішингових атак, де фальшива версія справжнього сайту створюється для того, щоб зібрати особисті дані, такі як номери банківських та кредитних/дебетових карт.
Варіанти
Наприклад запис для сервера ns.target.example може бути отруєна і перенаправляти всі запити на IP-адресу зловмисника w.x.y.z. Ці атаки припускають, що сервер імен для target.example є ns.target.example.
Щоб виконати атаки, зловмисник повинен змусити цільовий DNS-сервер зробити запит на домен, контрольований одним з серверів імен зловмисників
Перенаправлення цілі DNS
Перший варіант отруєння кешу DNS включає перенаправлення сервера імен домену зловмисника на сервер імен цільового домену, а потім присвоєння цьому серверу імен IP-адреси, вказаної зловмисником.
Запит DNS сервера: яка IP-адреса для subdomain.attacker.example?
subdomain.attacker.example. IN A
Відповідь атакуючого:
Answer: (no response) Authority section: attacker.example. 3600 IN NS ns.target.example. Additional section: ns.target.example. IN A w.x.y.z
Уразливий сервер буде кешувати додаткові записи (IP-адреса) для ns.target.example, який дозволить йому відповідати на запити для всієї групи доменів target.example.
Перенаправлення запису в інший домен
Другий варіант отруєння кешу DNS включає перенаправлення сервера імен домену, не пов'язаного з вихідним запитом, на IP-адресу, вказану зловмисником.
Запит DNS сервера: яка IP-адреса для subdomain.attacker.example?
subdomain.attacker.example. IN A
Відповідь атакуючого:
Answer: (no response) Authority section: target.example. 3600 IN NS ns.attacker.example. Additional section: ns.attacker.example. IN A w.x.y.z
Уразливий сервер буде кешувати незв'язані дані про повноваження для NS-запис target.example (запис сервера імен), що дозволяє зловмисникові відповідати на запити у всьому домені target.example.
Попередження атаки і пом'якшення наслідків
Більшість атак, пов'язаних з отруєнням кешу на DNS-серверах, можуть бути відвернені, оскільки вони не довіряють інформації, переданої їм іншими DNS-серверами, і ігнорують будь-які передані назад записи DNS, які не мають прямого відношення до запиту. Наприклад, версії BIND 9.5.0-P1 і вище виконують ці перевірки. Рандомізація порту джерела для DNS-запитів в поєднанні з використанням криптографічно безпечних випадкових чисел для вибору як вихідного порту, так і 16-розрядного криптографічного числа може значно знизити ймовірність успішних DNS-атак.
Однак, коли маршрутизатори, брандмауери, проксі і інші аварійні пристрої виконують трансляцію мережевих адрес (NAT) або, більш конкретно, перетворення адрес порту (PAT), вони можуть переписувати вихідні порти, щоб відслідковувати стан з'єднання. При зміні портів джерела, пристрої PAT можуть видаляти випадкову випадковість порту, реалізовану серверами імен і захисними заглушками.
Secure DNS (DNSSEC) використовує криптографічні цифрові підписи, підписані довіреним сертифікатом відкритого ключа, для визначення достовірності даних. DNSSEC може протидіяти атакам отруєння кешу, але з 2008 року ще не отримала широкого застосування. У 2010 році DNSSEC була реалізована на серверах кореневої зони Інтернету.
Така атака може бути зменшена на транспортному рівні або на рівні програми шляхом виконання наскрізної перевірки після встановлення з'єднання. Загальним прикладом цього є використання безпеки транспортного рівня і цифрових підписів.
Наприклад, використовуючи HTTPS (безпечну версію HTTP), користувачі можуть перевірити, чи є цифровий сертифікат сервера дійсним і належить очікуваному власнику вебсайту. Аналогічним чином, програма віддаленого входу в безпечний сервер перевіряє цифрові сертифікати на кінцевих точках (якщо вони відомі) перед продовженням сеансу. Для додатків, які завантажують оновлення автоматично, програма може вставляти копію сертифіката підпису локально і перевіряти підпис, що зберігається в оновленні програмного забезпечення, по вбудованому сертифікату.
Дивись також
- DNS hijacking
- DNS rebinding
- IP-спуфінг
- Mausezahn
- Pharming
- Root name server
- Dan Kaminsky
Примітки
- Son, Sooel. (PDF). Cornell University. Архів оригіналу (PDF) за 14 серпня 2017. Процитовано 3 квітня 2017.
- . ICANN/Verisign. с. 1. Архів оригіналу за 10 вересня 2017. Процитовано 5 січня 2012.
Вікіпедія, Українська, Україна, книга, книги, бібліотека, стаття, читати, завантажити, безкоштовно, безкоштовно завантажити, mp3, відео, mp4, 3gp, jpg, jpeg, gif, png, малюнок, музика, пісня, фільм, книга, гра, ігри, мобільний, телефон, android, ios, apple, мобільний телефон, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, ПК, web, Інтернет
DNS spufing ye odniyeyu z form zlomu komp yuternih merezh v yakomu dani DNS vidpovidi zminyuyutsya zlovmisnikom z metoyu povernennya pomilkovoyi IP adresi Ce prizvodit do ataki poserednika z metoyu perenapravlennya danih na komp yuter zlovmisnika abo bud yakij inshij komp yuter Ye odnim z sposobiv farmingu Oglyad sistemi domennih imenDNS serveri zistavlyayut zruchni dlya chitannya domenni imena napriklad example com z IP adresoyu yaka vikoristovuyetsya dlya marshrutizaciyi povidomlen mizh vuzlami Zazvichaj yaksho server ne znaye danoyi IP adresi vin vikonuye zapit do inshogo servera i proces trivaye rekursivno Dlya zbilshennya produktivnosti server yak pravilo zberigaye keshuye znachennya IP adresi i domennogo imeni na pevnij promizhok chasu Ce oznachaye sho yaksho vin otrimuye she odin zapit na toj samij zapis vin zmozhe vidpovisti bez neobhidnosti zapituvati inshi serveri do zakinchennya terminu diyi keshu Koli DNS server otrimuye pomilkove znachennya IP adresi i keshuye jogo dlya optimizaciyi produktivnosti ce znachennya vvazhayetsya otrujnim i server podaye nepravdivi vidomosti kliyentam Yaksho DNS server otruyenij vin mozhe povertati nevirnu IP adresu peredayuchi trafik na inshij komp yuter chastishe zlovmisnika Otruyennya keshuYak pravilo merezhevij komp yuter vikoristovuye DNS serveri sho nadayutsya Internet provajderom ISP abo vlasnij server organizaciyi DNS serveri vikoristovuyutsya v organizaciyi merezhi shob polipshiti produktivnist za rahunok keshuvannya ranishe otrimanih rezultativ Otruyennya keshu na odnomu DNS serveri mozhe vplinuti na koristuvachiv sho obslugovuyutsya bezposeredno na viddalenomu serveri abo tih hto obslugovuyetsya danim serverom Shob vikonati otruyennya keshu zlovmisnik ekspluatuye nedoliki programnogo zabezpechennya servera DNS Server povinen pravilno pereviriti DNS vidpovidi shob perekonatisya sho voni nalezhat nadijnomu dzherelu napriklad z dopomogoyu DNSSEC u protivnomu vipadku server mozhe keshuvati nevirni zapisi lokalno i nadavati inshim koristuvacham yaki zdijsnyuyut zapit Cya ataka mozhe buti vikoristana dlya perenapravlennya koristuvachiv z sajtu na inshij sajt za viborom zlovmisnika Napriklad zlovmisnik pidminyaye IP adresa vebsajtu na danomu DNS serveri i zaminyuye jogo IP adresu servera pid vlasnim kontrolem Zlovmisnik stvoryuye fajli na vlasnomu serveri z imenami sho zbigayutsya z timi sho znahodyatsya na cilovomu serveri Ci fajli zazvichaj mistyat shkidlivij kontent takij yak komp yuterni cherv yaki abo virusi Koristuvach chij komp yuter posilayetsya na otruyeni DNS serveri obmanom otrimuye kontent sho nadhodit vid neavtorizovanogo servera i nesvidomo zavantazhuye shkidlivij kontent Cej metod mozhe takozh vikoristovuvatisya dlya fishingovih atak de falshiva versiya spravzhnogo sajtu stvoryuyetsya dlya togo shob zibrati osobisti dani taki yak nomeri bankivskih ta kreditnih debetovih kart VariantiNapriklad zapis dlya servera ns target example mozhe buti otruyena i perenapravlyati vsi zapiti na IP adresu zlovmisnika w x y z Ci ataki pripuskayut sho server imen dlya target example ye ns target example Shob vikonati ataki zlovmisnik povinen zmusiti cilovij DNS server zrobiti zapit na domen kontrolovanij odnim z serveriv imen zlovmisnikiv Perenapravlennya cili DNS Pershij variant otruyennya keshu DNS vklyuchaye perenapravlennya servera imen domenu zlovmisnika na server imen cilovogo domenu a potim prisvoyennya comu serveru imen IP adresi vkazanoyi zlovmisnikom Zapit DNS servera yaka IP adresa dlya subdomain attacker example subdomain attacker example IN A Vidpovid atakuyuchogo Answer no response Authority section attacker example 3600 IN NS ns target example Additional section ns target example IN A w x y z Urazlivij server bude keshuvati dodatkovi zapisi IP adresa dlya ns target example yakij dozvolit jomu vidpovidati na zapiti dlya vsiyeyi grupi domeniv target example Perenapravlennya zapisu v inshij domen Drugij variant otruyennya keshu DNS vklyuchaye perenapravlennya servera imen domenu ne pov yazanogo z vihidnim zapitom na IP adresu vkazanu zlovmisnikom Zapit DNS servera yaka IP adresa dlya subdomain attacker example subdomain attacker example IN A Vidpovid atakuyuchogo Answer no response Authority section target example 3600 IN NS ns attacker example Additional section ns attacker example IN A w x y z Urazlivij server bude keshuvati nezv yazani dani pro povnovazhennya dlya NS zapis target example zapis servera imen sho dozvolyaye zlovmisnikovi vidpovidati na zapiti u vsomu domeni target example Poperedzhennya ataki i pom yakshennya naslidkivBilshist atak pov yazanih z otruyennyam keshu na DNS serverah mozhut buti vidverneni oskilki voni ne doviryayut informaciyi peredanoyi yim inshimi DNS serverami i ignoruyut bud yaki peredani nazad zapisi DNS yaki ne mayut pryamogo vidnoshennya do zapitu Napriklad versiyi BIND 9 5 0 P1 i vishe vikonuyut ci perevirki Randomizaciya portu dzherela dlya DNS zapitiv v poyednanni z vikoristannyam kriptografichno bezpechnih vipadkovih chisel dlya viboru yak vihidnogo portu tak i 16 rozryadnogo kriptografichnogo chisla mozhe znachno zniziti jmovirnist uspishnih DNS atak Odnak koli marshrutizatori brandmaueri proksi i inshi avarijni pristroyi vikonuyut translyaciyu merezhevih adres NAT abo bilsh konkretno peretvorennya adres portu PAT voni mozhut perepisuvati vihidni porti shob vidslidkovuvati stan z yednannya Pri zmini portiv dzherela pristroyi PAT mozhut vidalyati vipadkovu vipadkovist portu realizovanu serverami imen i zahisnimi zaglushkami Secure DNS DNSSEC vikoristovuye kriptografichni cifrovi pidpisi pidpisani dovirenim sertifikatom vidkritogo klyucha dlya viznachennya dostovirnosti danih DNSSEC mozhe protidiyati atakam otruyennya keshu ale z 2008 roku she ne otrimala shirokogo zastosuvannya U 2010 roci DNSSEC bula realizovana na serverah korenevoyi zoni Internetu Taka ataka mozhe buti zmenshena na transportnomu rivni abo na rivni programi shlyahom vikonannya naskriznoyi perevirki pislya vstanovlennya z yednannya Zagalnim prikladom cogo ye vikoristannya bezpeki transportnogo rivnya i cifrovih pidpisiv Napriklad vikoristovuyuchi HTTPS bezpechnu versiyu HTTP koristuvachi mozhut pereviriti chi ye cifrovij sertifikat servera dijsnim i nalezhit ochikuvanomu vlasniku vebsajtu Analogichnim chinom programa viddalenogo vhodu v bezpechnij server pereviryaye cifrovi sertifikati na kincevih tochkah yaksho voni vidomi pered prodovzhennyam seansu Dlya dodatkiv yaki zavantazhuyut onovlennya avtomatichno programa mozhe vstavlyati kopiyu sertifikata pidpisu lokalno i pereviryati pidpis sho zberigayetsya v onovlenni programnogo zabezpechennya po vbudovanomu sertifikatu Divis takozhDNS hijacking DNS rebinding IP spufing Mausezahn Pharming Root name server Dan KaminskyPrimitkiSon Sooel PDF Cornell University Arhiv originalu PDF za 14 serpnya 2017 Procitovano 3 kvitnya 2017 ICANN Verisign s 1 Arhiv originalu za 10 veresnya 2017 Procitovano 5 sichnya 2012