Что такое отравление DNS?

Отравление DNS, также называемое подделкой DNS, представляет собой тип взлома безопасности сети, при котором данные Системы доменных имен повреждены. Ложные данные помещаются в кэш распознавателя DNS, в результате чего DNS-сервер возвращает неверные записи. Это приводит к отклонению трафика от предполагаемого пункта назначения..


Атака DNS-отравления обычно осуществляется через URL-адреса, рассылаемые по электронной почте. Эти письма хотят обманом заставить пользователей щелкнуть полученный URL.

Как работает DNS

DNS-сервер преобразует доменное имя или URL-адрес, например google.com, в IP-адрес, который компьютеры используют для подключения.

Чтобы повысить производительность сервера, он обычно кэширует перевод в течение определенного периода времени. Если получен запрос на уже сохраненный перевод, ответ будет дан без запроса сервера.

Когда ложный перевод получен и кэширован DNS, он становится отравленным. Затем он отправляет неверную информацию клиенту.

DNS-кеширование

В Интернете нет только одного DNS-сервера, поскольку это было бы очень неэффективно. Интернет-провайдеры (ISP) используют свои собственные DNS-серверы, которые кэшируют информацию с других доверенных DNS-серверов..

Ваш домашний маршрутизатор также служит DNS-сервером, который кэширует информацию от вашего провайдера’DNS-серверы. Ваша система имеет локальный кэш DNS, поэтому она может быстро обращаться к DNS-запросам, которые она уже выполняла, вместо того, чтобы каждый раз выполнять новый DNS-поиск..

Узнайте больше о том, что такое DNS-кеш и как он работает

Отравление кеша DNS

Кэш DNS может быть отравлен, если он содержит неверную запись в кэше. Например, когда злоумышленник крадет контроль над DNS-сервером и вносит изменения в некоторую информацию на нем.

Позволять’скажем, они заставляют google.com фактически указывать на другой IP-адрес, принадлежащий злоумышленнику. Этот DNS-сервер заставит пользователей искать google.com не по адресу. Злоумышленник’s IP-адрес может быть для некоторых вредоносных фишинговых веб-сайтов, которые могут нанести вред вашей системе.

Этот тип отравления DNS также очень заразен. Например, если многие интернет-провайдеры получают одну и ту же испорченную информацию DNS с этого скомпрометированного сервера, отравленная запись DNS может полностью распространиться на этих интернет-провайдеров и оказаться там в кеше..

Эта скомпрометированная информация DNS будет затем распространяться на различные домашние маршрутизаторы, и DNS-сервер будет затем кэшировать ее на компьютерах, когда они будут пытаться найти запись DNS. Они получат неправильные ответы и сохранят их в системе.

Как работает DNS-отравление

Отравление кеша DNS осуществляется с помощью кода, обычно встречающегося в URL-адресах, рассылаемых по электронной почте. Эти электронные письма пытаются удостовериться, что пользователи нажимают на полученный URL, что определенно повлияет на их компьютеры..

Изображения и рекламные баннеры, найденные в спам-сообщениях и ненадежных веб-сайтах, также могут использоваться для перенаправления пользователей на этот код. После того, как компьютер отравлен, пользователи будут подделывать веб-сайты, подделанные, чтобы выглядеть как настоящие. Это подвергнет их различным рискам, таким как клавиатурные шпионы, шпионское ПО или черви..

Атаки отравления кэша DNS

Обычно интернет-провайдеры или организации пользователей предоставляют DNS-серверы сетевым компьютерам. Для увеличения разрешения разрешения сети организации-исполнителя используют DNS-серверы для перехвата ранее полученной информации. Пользователи, которые размещаются на скомпрометированных серверах, подвергаются воздействию при отравлении одного DNS.

Прежде чем приступить к отравлению DNS, в приложении DNS должна быть лазейка. Сервер должен проверить, что ответы DNS получены из подлинного источника, потому что сервер может локально кэшировать ошибочные записи и передавать их пользователям, которые сделали этот точный запрос.

Например, злоумышленник пародирует запись IP-адреса для определенного веб-сайта и меняет его на новый IP-адрес, которым он управляет. Поэтому злоумышленник создает документы на сервере, которым он управляет, с именами, подобными этому конкретному серверу..

Созданные файлы в основном содержат вредоносное содержимое, такое как компьютерные вирусы или черви. Любой пользователь, чья система использовала взломанный DNS-сервер, может быть обманут, приняв взломанные материалы с неподлинного сервера и случайно загрузив вредоносный контент..

Риски отравления DNS

Отравление DNS вызывает много рисков. Легко подделать IP-адреса банковских и розничных сайтов. Это означает, что конфиденциальная информация, такая как данные кредитной карты, пароли и т. Д., Может быть легко украдена. Если интернет-провайдеры подделаны, пользователь’компьютер может быть взломан.

Наконец, трудно устранить заражение DNS-кэшем, поскольку простая очистка зараженного сервера не устраняет проблему, и чистые системы, подключающиеся к скомпрометированному серверу, обязательно снова будут скомпрометированы. Очистка кеша DNS может решить эту проблему.

Предотвращение отравления DNS

Для начала, чтобы предотвратить отравление DNS, ИТ-персонал должен настроить DNS-серверы так, чтобы как можно меньше зависеть от доверительных отношений с другими DNS-серверами. Из-за снижения доверительных отношений между серверами злоумышленникам очень трудно использовать собственные DNS-серверы для заражения целевых серверов..

Помимо ограничения доверительных отношений между DNS-серверами, ИТ-персонал должен убедиться, что используется самая последняя версия DNS. DNS’ которые используют BIND версии 9.5.0 или новее, включают такие функции, как криптографически зашифрованные идентификаторы транзакций и рандомизация портов.

Криптографически-зашифрованные идентификаторы транзакций и рандомизация портов помогают предотвратить атаки отравления DNS. Для дальнейшего предотвращения атак DNS-отравлений ИТ-персоналу необходимо настроить свои DNS-серверы для ограничения рекурсивных запросов и хранить только данные, связанные с запрашиваемым доменом..

Они также должны ограничивать ответы на запросы, чтобы предоставить только информацию о запрашиваемом домене. Необходимо поддерживать DNS-сервер, чтобы обеспечить удаление ненужных служб. Для дальнейшего предотвращения отравления DNS, ИТ-персонал может внедрить метод DNSSEC на DNS-сервере.

DNSSEC

DNSSEC был создан для кэширующих распознавателей, обслуживающих приложения, и для защиты приложений от использования манипулированных или поддельных данных DNS, таких как данные, созданные при отравлении кэша DNS. Все ответы от охраняемых зон DNSSEC подписаны в цифровой форме.

Посмотрев на цифровую подпись, распознаватель DNS сможет определить, идентична ли предоставленная информация - неизменная и полная - информации, предоставленной владельцем зоны и распространенной на официальном сервере DNS. Защита IP-адресов является главной заботой многих пользователей.

DNSSEC может защитить все данные, опубликованные на DNS-сервере, включая текстовые записи (TXT) и записи обмена почтой (MX). DNSSEC можно использовать для объединения других систем безопасности, которые обеспечивают обратную связь о криптографических сертификатах, хранящихся в DNS, таких как записи сертификатов, открытые ключи IPSec, отпечатки SSH и якоря доверия TLS..

DNSSEC не обеспечивает конфиденциальность данных. Чтобы быть точным, не все ответы DNSSEC зашифрованы, но они аутентифицированы. DNSSEC не’t напрямую защищает от DoS-атак, хотя и дает некоторые косвенные преимущества.

Процедура поиска DNS для DNSSEC

Исходя из результатов поиска DNS, распознающий DNS распознаватель может определить, поддерживает ли авторизованный сервер имен для этого домена DNSSEC, является ли ответ защищенным и существует ли какая-либо форма ошибки. Процедура поиска различна для рекурсивных серверов имен, таких как серверы имен ISP, и для распознавателей-заглушек, таких как встроенные по умолчанию в основных операционных системах (например, распознаватель заглушек Windows). Microsoft Windows использует распознаватель заглушек, а Windows 7 использует не проверяющий, но, в частности, DNSSEC, распознаватель заглушек..

Криптографически, чтобы знать, если домен отсутствует, необходимо пометить ответ на каждый запрос несуществующего домена. Хотя это не проблема для серверов онлайн-подписи, для которых ключи доступны онлайн.

Кроме того, DNSSEC был создан для использования автономных компьютеров для подписи записей, чтобы ключи подписи зон можно было хранить в холодном хранилище. Это может создать проблему при попытке аутентификации ответов.

Для запроса несуществующих доменов невозможно предварительно сгенерировать ответ для каждого возможного запроса имени хоста. Первым решением этой проблемы было создание записей NSEC для всех пар доменов в определенной зоне..

Следовательно, если клиент запрашивает несуществующую запись, такую ​​как k.example.com, сервер ответит записью NSEC, в которой говорится, что ничего не существует между a.example.com и z.example.com. Однако этот метод дает больше информации об этой зоне, чем традиционные неаутентифицированные ошибки NXDOMAIN, поскольку он показывает реальное существование домена.

Предотвращение и смягчение отравления DNS

Многие атаки отравления DNS могут быть легко предотвращены снижением доверия к информации, получаемой от внешних DNS-серверов..

Другая тактика - игнорировать полученные записи DNS, которые не очень применимы к запросу. Атаки DNS-отравления также могут быть уменьшены на уровне приложений или на транспортном уровне, когда в системах выполняется двухточечная проверка после установления соединения. Типичным примером процедуры такого типа является использование цифровых подписей и безопасность транспортного уровня (TLS)..

Например, используя защищенную версию HTTP, которая является HTTP, пользователи могут проверить, действителен ли цифровой сертификат сервера и принадлежит ли он веб-сайту.’предполагаемый владелец.

Аналогично, программа удаленного входа в систему, известная как безопасная оболочка (SSH), проверяет в конечных точках цифровые сертификаты, прежде чем приступить к заклинанию..

Для программного обеспечения, которое автоматически загружает обновления, программное обеспечение может локально включать дубликат подписанного сертификата и аутентифицировать подпись, сохраненную в обновлении приложения, с помощью встроенного сертификата..

Нижняя линия

Поскольку мы все переходим на цифровое вещание, отравление DNS представляет собой очень большую угрозу для нашей информации и повседневной деятельности. Отравление DNS дало злоумышленникам возможность удаленно взломать системы, не имея физического доступа к этой системе.

Предотвращение отравления DNS и кеша очень важно, поэтому администраторам необходимо внедрить менее доверчивый подход к другим серверам.

Им также необходимо реализовать такие методы, как DNSSEC или обновить свои серверы до последних версий, с такими функциями, как криптографически зашифрованные идентификаторы транзакций и рандомизация портов..

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me

Add a Comment

Your email address will not be published. Required fields are marked *

− 3 = 2