DNS-серверы необходимы для нормального функционирования Интернета, который мы знаем и любим, но они, как правило, остаются незамеченными большинством пользователей. По крайней мере до тех пор, пока не произойдет какая-либо атака или инцидент, препятствующий их нормальной работе, что приводит к сбоям служб, которые мы используем ежедневно (аналогичный случай произошел недавно, когда ботнет Mirai атаковал компанию под названием DynDNS).
Одно можно сказать наверняка: существует несколько типов атак, которые могут повлиять на работу данных серверов – и в этой статье мы рассмотрим различия между ними.
Что такое DNS-сервер?
Система доменных имен (сокращенно DNS) обеспечивают возможность адресации веб-страницы по ее IP-адресу. Благодаря этому нам, пользователям, не нужно запоминать последовательность цифр, составляющих IP-адрес (или цифры и буквы в IPV6), и мы получаем доступ, например, к веб-странице www.facebook.com, указывая ее так, как она сохранена в нашем браузере, вместо ввода «31.13.92.36».
За преобразование такого удобного в использовании имени в IP-адрес отвечают DNS-серверы, которые обращаются к иерархической распределенной базе данных, в которой, помимо прочего, хранится информация об IP-адресах и соответствующих доменных именах. Эта система помогает запомнить адреса веб-сайтов, а также предусматривает возможность изменения IP-адреса в случае необходимости.
Учитывая значимость описанных серверов, неудивительно, что многие атаки направлены на эксплойтинг уязвимостей в самих серверах либо в способе их использования.
DNS-спуфинг и отравление DNS-кэша
Данные два метода, которые часто интерпретируются как однотипные атаки, в действительности технически отличаются друг от друга. В целом можно сказать, что отравление DNS-кэша является одним из многих способов DNS-спуфинга, который относится к широкому ряду существующих атак, направленных на подмену информации, хранящейся на DNS-серверах.
DNS-спуфинг представляет собой конечную цель атаки (для изменения реестров, хранящихся на DNS-сервере, любым способом, выбранным злоумышленниками), и для этого используются различные механизмы, которые включают в себя отравление DNS-кэша, а также атаки типа «человек посередине», использование поддельных базовых станций и даже нарушение безопасности DNS-сервера.
DNS-спуфинг также прослеживается в атаках, направленных против пользователей. В качестве примера можно привести подмену адреса DNS-серверов, настроенных на нашу операционную систему или маршрутизатор. Часто вводится адрес DNS-серверов нашего Интернет-провайдера или другой организации, например, Google, как показано ниже:
Отравление DNS-кэша – это ситуация, когда многие конечные пользователи используют один и тот же кэш, при этом хранящиеся в нем реестры соотносят каждый IP-адрес с определенным доменом. Если злоумышленникам удается управлять DNS-записью в этом реестре, Интернет-провайдеры, которые используют данный кэш, воспринимают ее как подлинную, даже если произошло перенаправление на поддельный сайт.
В таком случае говорят об отравленном DNS-кэше, который при преобразовании доменного имени не перенаправляет трафик по подлинному IP-адресу. Отравить кэш такого типа, безусловно, не так просто, как существующий кэш в системе или маршрутизаторе, но технически это возможно, и подобные прецеденты были зафиксированы.
Одна из основных проблем атак «отравление DNS-кэша» заключается в том, что они могут распространяться среди разных DNS-серверов и, следовательно, со временем могут также повлиять на внутренние маршрутизаторы, включая существующий DNS-кэш в системе пользователя, поскольку маршрутизатор получит эту недостоверную информацию и на ее основании обновит свой локальный кэш.
Для проведения атак подобного рода злоумышленникам необходим веб-сервер и DNS-сервер с настройками их собственной полномочной системы DNS и домена-ловушки. При этом злоумышленникам сначала необходимо, чтобы жертва перешла с использованием их собственной DNS-системы по ссылке с доменом-ловушкой, чтобы затем начать сбор идентификаторов транзакции, пока они не смогут предсказать, каким будет следующий.
Достигнув данного этапа, DNS-система жертвы должна будет обратиться к полномочной DNS-системе злоумышленников, которая может перенаправить их на домен, заменяющий банковский веб-сайт. Теперь, когда злоумышленникам известен новый идентификатор транзакции, они могут отправлять пакеты, пытаясь подменить подлинные соединения, которые получает пользователь при подключении к своему Интернет-банкингу.
Поскольку злоумышленники могут достоверно предсказать идентификатор транзакции, DNS-система жертвы сохранит подмененную запись в своем кэше и будет считать ее подлинной. С этого момента жертва, при любой попытке войти в Интернет-банкинг, будет перенаправлена на сайт, контролируемый злоумышленниками.
Перехват DNS
Через вредоносные программы злоумышленники также могут влиять на преобразование доменных имен, в результате чего жертвы подключаются к контролируемому им серверу. Существуют вредоносные программы, например, Win32/DNSChanger, которые меняют настройки DNS, заданные пользователем или нашим Интернет-провайдером. Действие таких вредоносных программ показано ниже:
| Funcionamiento normal | Нормальное функционирование |
| Servidor DNS | DNS-сервер |
| Víctima | Жертва |
| Servidor web | Веб-сервер |
| Consulta por www.ejemplo.com | Поиск www.example.com |
| Respuesta Servidor web | Отклик веб-сервера |
| Acceso a sítio legítimo | Доступ к подлинному сайту |
| Víctima de un DNS Spoofing local | Жертва спуфинга локального DNS |
| Víctima | Жертва |
| Servidor DNS | DNS-сервер |
| Atacante rol de DNS malicioso | Роль злоумышленника вредоносного DNS |
| Servidor malicioso | Вредоносный сервер |
| Acceso a sítio malicioso | Доступ к вредоносному сайту |
| Consulta por www.ejemplo.com | Поиск www.example.com |
| Respuesta Servidor malicioso | Отклик вредоносного сервера |
В результате злоумышленники проводят разнообразные атаки, начиная от фишинга – то есть использования поддельных сайтов, которые жертва посещает, принимая их за настоящие (и переходит на них, указывая правильный адрес в своем браузере), – до эксплойтинга уязвимостей, когда пользователь посещает веб-страницы, которые он считает подлинными, но которые в действительности были созданы злоумышленниками для заражения компьютера пользователя.
В качестве наглядного примера можно привести сети компьютеров-зомби, которые также называются ботнетами. Многие из них изменяют настройки DNS-серверов, заданные жертвами, и перенаправляют пользователей на другие серверы, контролируемые злоумышленниками. Таким способом, а также осуществляя описанные вредоносные действия, преступники могут отправлять команды ботам, обновлять версию вредоносного ПО и даже удалять ее из системы в случае необходимости.
Вывод
Как отмечено выше, существует множество типов атак, препятствующих правильному преобразованию доменного имени и способствующих тому, что пользователи невольно попадают в ловушки, расставленные преступниками, думая, что они переходят на подлинный сайт. Во избежание подобных угроз рекомендуется приобрести надлежащее решение по обеспечению безопасности, а также, по мере возможности, решение, включающее в себя инструмент для мониторинга безопасности маршрутизатора.
Говоря о маршрутизаторах, никогда не будет лишним проверять безопасность своего маршрутизатора. Рекомендуется обеспечивать его надлежащее обновление и настройки, чтобы никто не мог получить к нему несанкционированный доступ. Также не рекомендуется использовать слабые пароли и активировать службы, предусматривающие возможность удаленного подключения к маршрутизатору.
Источник: WeLiveSecurity
