DNS-серверы необходимы для нормального функционирования Интернета, который мы знаем и любим, но они, как правило, остаются незамеченными большинством пользователей. По крайней мере до тех пор, пока не произойдет какая-либо атака или инцидент, препятствующий их нормальной работе, что приводит к сбоям служб, которые мы используем ежедневно (аналогичный случай произошел недавно, когда ботнет Mirai атаковал компанию под названием DynDNS).

Одно можно сказать наверняка: существует несколько типов атак, которые могут повлиять на работу данных серверов – и в этой статье мы рассмотрим различия между ними.

 

Что такое DNS-сервер?

 

Система доменных имен (сокращенно DNS) обеспечивают возможность адресации веб-страницы по ее IP-адресу. Благодаря этому нам, пользователям, не нужно запоминать последовательность цифр, составляющих IP-адрес (или цифры и буквы в IPV6), и мы получаем доступ, например, к веб-странице www.facebook.com, указывая ее так, как она сохранена в нашем браузере, вместо ввода «31.13.92.36».

За преобразование такого удобного в использовании имени в IP-адрес отвечают DNS-серверы, которые обращаются к иерархической распределенной базе данных, в которой, помимо прочего, хранится информация об IP-адресах и соответствующих доменных именах. Эта система помогает запомнить адреса веб-сайтов, а также предусматривает возможность изменения IP-адреса в случае необходимости.

Учитывая значимость описанных серверов, неудивительно, что многие атаки направлены на эксплойтинг уязвимостей в самих серверах либо в способе их использования.

 

DNS-спуфинг и отравление DNS-кэша

 

Данные два метода, которые часто интерпретируются как однотипные атаки, в действительности технически отличаются друг от друга. В целом можно сказать, что отравление DNS-кэша является одним из многих способов DNS-спуфинга, который относится к широкому ряду существующих атак, направленных на подмену информации, хранящейся на DNS-серверах.

DNS-спуфинг представляет собой конечную цель атаки (для изменения реестров, хранящихся на DNS-сервере, любым способом, выбранным злоумышленниками), и для этого используются различные механизмы, которые включают в себя отравление DNS-кэша, а также атаки типа «человек посередине», использование поддельных базовых станций и даже нарушение безопасности DNS-сервера.

DNS-спуфинг также прослеживается в атаках, направленных против пользователей. В качестве примера можно привести подмену адреса DNS-серверов, настроенных на нашу операционную систему или маршрутизатор. Часто вводится адрес DNS-серверов нашего Интернет-провайдера или другой организации, например, Google, как показано ниже:

 

 

Отравление DNS-кэша – это ситуация, когда многие конечные пользователи используют один и тот же кэш, при этом хранящиеся в нем реестры соотносят каждый IP-адрес с определенным доменом. Если злоумышленникам удается управлять DNS-записью в этом реестре, Интернет-провайдеры, которые используют данный кэш, воспринимают ее как подлинную, даже если произошло перенаправление на поддельный сайт.

В таком случае говорят об отравленном DNS-кэше, который при преобразовании доменного имени не перенаправляет трафик по подлинному IP-адресу. Отравить кэш такого типа, безусловно, не так просто, как существующий кэш в системе или маршрутизаторе, но технически это возможно, и подобные прецеденты были зафиксированы.

Одна из основных проблем атак «отравление DNS-кэша» заключается в том, что они могут распространяться среди разных DNS-серверов и, следовательно, со временем могут также повлиять на внутренние маршрутизаторы, включая существующий DNS-кэш в системе пользователя, поскольку маршрутизатор получит эту недостоверную информацию и на ее основании обновит свой локальный кэш.

Для проведения атак подобного рода злоумышленникам необходим веб-сервер и DNS-сервер с настройками их собственной полномочной системы DNS и домена-ловушки. При этом злоумышленникам сначала необходимо, чтобы жертва перешла с использованием их собственной DNS-системы по ссылке с доменом-ловушкой, чтобы затем начать сбор идентификаторов транзакции, пока они не смогут предсказать, каким будет следующий.

Достигнув данного этапа, DNS-система жертвы должна будет обратиться к полномочной DNS-системе злоумышленников, которая может перенаправить их на домен, заменяющий банковский веб-сайт. Теперь, когда злоумышленникам известен новый идентификатор транзакции, они могут отправлять пакеты, пытаясь подменить подлинные соединения, которые получает пользователь при подключении к своему Интернет-банкингу.

Поскольку злоумышленники могут достоверно предсказать идентификатор транзакции, DNS-система жертвы сохранит подмененную запись в своем кэше и будет считать ее подлинной. С этого момента жертва, при любой попытке войти в Интернет-банкинг, будет перенаправлена на сайт, контролируемый злоумышленниками.

 

Перехват DNS

 

Через вредоносные программы злоумышленники также могут влиять на преобразование доменных имен, в результате чего жертвы подключаются к контролируемому им серверу. Существуют вредоносные программы, например, Win32/DNSChanger, которые меняют настройки DNS, заданные пользователем или нашим Интернет-провайдером. Действие таких вредоносных программ показано ниже:

 

Funcionamiento normal Нормальное функционирование
Servidor DNS DNS-сервер
Víctima Жертва
Servidor web Веб-сервер
Consulta por www.ejemplo.com Поиск www.example.com
Respuesta Servidor web Отклик веб-сервера
Acceso a sítio legítimo Доступ к подлинному сайту

 

 

Víctima de un DNS Spoofing local Жертва спуфинга локального DNS
Víctima Жертва
Servidor DNS DNS-сервер
Atacante rol de DNS malicioso Роль злоумышленника вредоносного DNS
Servidor malicioso Вредоносный сервер
Acceso a sítio malicioso Доступ к вредоносному сайту
Consulta por www.ejemplo.com Поиск www.example.com
Respuesta Servidor malicioso Отклик вредоносного сервера

 

В результате злоумышленники проводят разнообразные атаки, начиная от фишинга – то есть использования поддельных сайтов, которые жертва посещает, принимая их за настоящие (и переходит на них, указывая правильный адрес в своем браузере), – до эксплойтинга уязвимостей, когда пользователь посещает веб-страницы, которые он считает подлинными, но которые в действительности были созданы злоумышленниками для заражения компьютера пользователя.

В качестве наглядного примера можно привести сети компьютеров-зомби, которые также называются ботнетами. Многие из них изменяют настройки DNS-серверов, заданные жертвами, и перенаправляют пользователей на другие серверы, контролируемые злоумышленниками. Таким способом, а также осуществляя описанные вредоносные действия, преступники могут отправлять команды ботам, обновлять версию вредоносного ПО и даже удалять ее из системы в случае необходимости.

 

Вывод

 

Как отмечено выше, существует множество типов атак, препятствующих правильному преобразованию доменного имени и способствующих тому, что пользователи невольно попадают в ловушки, расставленные преступниками, думая, что они переходят на подлинный сайт. Во избежание подобных угроз рекомендуется приобрести надлежащее решение по обеспечению безопасности, а также, по мере возможности, решение, включающее в себя инструмент для мониторинга безопасности маршрутизатора.

Говоря о маршрутизаторах, никогда не будет лишним проверять безопасность своего маршрутизатора. Рекомендуется обеспечивать его надлежащее обновление и настройки, чтобы никто не мог получить к нему несанкционированный доступ. Также не рекомендуется использовать слабые пароли и активировать службы, предусматривающие возможность удаленного подключения к маршрутизатору.

 

Источник: WeLiveSecurity