Domeeninimeserverid on hädavajalikud meile nii tuttava ja armsa interneti normaalseks funktsioneerimiseks, ent enamik kasutajaid ei märkagi neid. Nii on vähemalt seni, kuni esineb mõnd sorti rünne või intsident, mille tõttu need lakkavad normaalselt töötamast ning mille tulemusel hakkavad rivist välja langema teenused, mida me iga päev kasutame (just nii juhtus hiljuti, kui Mirai robotivõrk ründas DynDNS’i-nimelist firmat).

Üks on kindel – neid servereid mõjutada võivate rünnete tüüpe on mitu. Me vaatamegi selles artiklis nendevahelisi erinevusi.

 

Mis on DNS-server?

 

Domeeninimede süsteem (lühidalt DNS) võimaldab meil vastendada veebilehe nime selle IP-aadressiga. Me ei pea tänu sellele kasutajana pidama meeles internetiaadressi moodustavat numbrijada (või numbreid ja tähti IPv6-e puhul) ning pääseme ligi veebilehele nagu “www.facebook.com” seda just nii oma brauserisse kirjutades selle asemel, et sisestada “31.13.92.36”.

Sellise kasutajasõbraliku nime IP-aadressiks teisendamine on DNS-serverite töö, milleks need pöörduvad hierarhilise hajusandmebaasi poole, mis sisaldab muuhulgas infot selle kohta, milline IP-aadress millisele domeeninimele vastab. See süsteem muudab lihtsamaks veebisaitide aadressite meelespidamise ja tähendab ka seda, et IP-aadressi saab vajaduse korral muuta.

Nende serverite olulisust mõistes pole üllatav, et paljud ründed üritavad ekspluateerida nõrkusi neis endis või nende kasutamise viisis.

 

DNSi võltsimine versus DNSi puhvri mürgitamine

 

Need tihti sama tüüpi ründeks peetavad kaks võtet erinevad tegelikult tehniliselt üksteisest. Üldiselt võib väita, et DNSi puhvri mürgitamine on üks mitmest DNSi võltsimise saavutamise viisist. DNSi võltsimine viitab paljudele erinevatele olemasolevatele rünnetele, mille eesmärgiks on DNS-serverites säilitatava info pahatahtlik välja tõrjudes asendamine.

DNSi võltsimine on seega ründe ülim eesmärk (DNS-serveris säilitatavate registrite muutmine mis tahes ründaja poolt soovitud viisil), mille saavutamiseks rakendatakse erinevaid mehhanisme. Nende hulka kuulubki DNSi puhvri mürgitamine, aga ka vahele-tükkiva-mehe-ründed (ingl k man-in-the-middle ehk MITM), võltstugijaamade kasutamine ja koguni DNS-serveri turbe kompromiteerimine.

DNSi võltsimise näiteid saab tuua ka kasutajate vastu suunatud rünnetest. Üks neist oleks meie opsüsteemil või ruuteril konfigureeritud DNS-serveri aadressi asendamine. Tavaline on sisestada meie internetiteenuse pakkuja või muu organisatsiooni nagu Google’i DNS-serveri aadress, nagu allpool näidatud:

 

 

DNSi puhvri mürgitamine viitab olukorrale, mil paljud lõppkasutajad kasutavad sama puhvrit, kus säilitatavad registrid seostavad iga IP-aadressi domeeniga. Kui ründajal õnnestub manipuleerida DNSi kirjega selles registris, siis aktsepteerivad seda puhvrit kasutavad internetiteenuse pakkujad seda autentsena isegi juhul, kui see on manipuleeritud suunama võltsveebisaidile.

Sel juhul on meil tegemist mürgitatud DNSi puhvriga, mis ei suuna domeeninime teisendades liiklust seaduslikule IP-aadressile. On selge, et seda tüüpi puhvri mürgitamine ei ole sama lihtne, nagu see oleks olemasoleva puhvri puhul süsteemis või ruuteris, ent tehniliselt on see võimalik ja selliseid pretsedente on esinenud.

Üks DNSi puhvri mürgitamise rünnete põhiprobleeme peitub asjaolus, et need võivad kanduda edasi erinevate DNS-serverite vahel, mistõttu võivad need aja jooksul mõjutada ka koduseid ruutereid, kaasa arvatud olemasolevat DNSi puhvrit kasutaja süsteemis, kuna ruuter saaks selle valeinfo ja värskendaks sellega oma lokaalset puhvrit.

Ründaja vajab seda tüüpi ründe läbiviimiseks veebiserverit ja DNS-serverit konfigureerimaks oma autoriteetset DNSi ja lõksudomeeni. Seejärel peab ründaja esmalt saama ohvri pöörduma oma DNSiga lõksudomeeniga lingi poole, et hakata siis koguma tehingu identifikaatoreid, kuni ta saavutab olukorra, mis lubab tal prognoosida järgmist.

Kui olukord jõuab selleni, siis on ohvri DNS sunnitud esitama päringu ründaja autoriteetsele DNSile, mis võib suunata näiteks pangandussaiti pahatahtlikult asendavale domeenile. Kui nüüd ründaja on avastanud, milline saab olema uue tehingu ID, saab ta saata pakette püüdmaks asendada seaduspäraseid ühendusi, mille kasutaja saab, kui püüab ühenduda oma pangaga.

Kuna ründaja suudab prognoosida tehingu korrektset IDd, siis salvestab ohvri DNS pahatahtlikult asendatud kirje oma puhvrisse ja aktsepteerib seda kui õiget. Kui ohver püüab sellest hetkest alates pöörduda panga veebisaidi poole, siis suunatakse ta hoopis ründaja poolt kontrollitud veebisaidile.

 

Ja DNSi kaaperdamine?

 

Pahavara saab kasutada ka domeeninimede teisendamise selliselt mõjutamiseks, et ohvrid ühenduvad küberkurjategija kontrolli all oleva serveriga. Sellise pahavara näiteks on Win32/DNSChanger, mis muudab kasutaja või meie internetiteenuse pakkuja poolt sisseseatud DNSi. Järgmine joonis näitab, kuidas see toimib:

 

 

Funcionamiento normal Normaaltalitlus
Servidor DNS DNS-server
Víctima Ohver
Servidor web Veebiserver
Consulta por www.ejemplo.com Otsib välja www.example.com-i.
Respuesta Servidor web Veebiserver vastab.
Acceso a sítio legítimo Pöördub seadusliku veebisaidi poole.

 

 

Víctima de un DNS Spoofing local Lokaalse DNSi võltsimise ohver
Víctima Ohver
Servidor DNS DNS-server
Atacante rol de DNS malicioso Pahatahtliku DNSi ründajaroll
Servidor malicioso Pahatahtlik server
Acceso a sítio malicioso Pöördub pahatahtliku veebisaidi poole.
Consulta por www.ejemplo.com Otsib välja www.example.com-i.
Respuesta Servidor malicioso Pahatahtlik server vastab.

 

See võimaldab ründajatel viia läbi paljusid erinevaid ründeid alates õngevõtmisest, mis tähendab teisisõnu sellise võltsveebisaidi kasutamist, mida ohver külastab seda ehtsaks pidades (olles pöördunud selle poole oma brauserisse korrektset aadressi sisestades), kuni vallutuste kasutamiseni nõrkuste ekspluateerimiseks sellal, kui kasutaja surfab usaldusväärseks peetavatel veebilehtedel, mille on tegelikult genereerinud ründajad kasutaja nakatamiseks.

Selgeimaks näiteks on siiski zombidest arvutite võrgud ehk robotivõrgud. Paljud neist muudavad DNS-servereid, mille nende ohvrid on konfigureerinud, pannes need suunama teistele, mis on ründajate kontrolli all. Nii tehes ja ka juba kirjeldatud pahatahtlike toimingutega saavad küberkurjategijad saata robotitele käske, värskendada pahavararaversiooni või koguni eemaldada seda süsteemist, kui vaja.

 

Järeldus

 

Nagu näha, on erinevat tüüpi ründeid, mis võivad takistada domeeni korrektset teisendamist ja panna kasutajaid tahtmatult langema küberkurjategijate poolt üles seatud lõksudesse, arvates seejuures ise, et nad pöörduvad seadusliku saidi poole. Seda tüüpi ohtude vältimiseks on soovitav investeerida heasse turbelahendusse ja kui võimalik, siis sellisesse, millel on olemas ka sinu ruuteri turbe seiramise tööriist.

Ja kui rääkida ruuteritest, siis ei tee kunagi halba kontrollida, kas sinu ruuteri turve on adekvaatne. Alati on soovitav tagada, et see on nõuetekohaselt värskendatud ja konfigureeritud, nii et keegi ei pääse ilma loata sellele juurde, ja me peaksime vältima nõrkade paroolide kasutamist ja selliste teenuste aktiveerimist, mis võimaldavad kaugühendust ruuteriga.

 

Allikas: WeLiveSecurity