Что такое dns trap

Обновлено: 03.07.2024

За последние 2 года число DNS-атак в кибер-реальности увеличилось почти в 2 раза. Эта тенденция отнюдь не случайна и выводит актуальность данного типа атак на один ряд с таким гигантом, как DoS / DDoS. Что неудивительно, учитывая родственность DNS и DDoS-атак.

Вопросов в поставленной теме ещё много. И помимо очевидного (какие опасности таит в себе протокол DNS и атаки на него), на ум сразу приходит другой - более парадоксальный: почему вообще мы всё ещё используем в такой важной и неотъемлемой части сети, как DNS, ничем незащищённый открытый UDP-протокол (на котором и реализован DNS)? Над ответом можно долго гадать, но мнение большинства, как и моё личное, сводится к обыкновенной безалаберности и лени современных представителей IT. Хотя в последние годы решение проблемы борьбы с DNS-атаками начинают появляться и внедряться в практику IT-контор. Но обо всём по-порядку. Собственно, какие бывают типы DNS-атак и как можно им противостоять?

Основы протокола DNS и базовые схемы DNS-атак описаны в более ранней статье DNS-атаки: основные схемы и принципы. А в текущей мы поговорим более подробно о конкретных схемах реализации и способах защиты от атак на протокол DNS.

Пик популярности DNS-атак - сегодня!

Годом DNS-атак по праву считается 2012, в который не только существенно возросло их число, но и, что более важно, – они стали более изощренными и стали влечь за собой более серьезные последствия.

Почему популярность DNS-атак возросла? Ответ на лежит в недавней истории DoS / DDoS-атак. DoS / DDoS-атаки появились одновременно с появлением самого Интернета и с тех пор не уступали своё лидерство практически никому: до 2010-2011 годов от них практически не было реальных способов защиты (да их и сейчас почти нет, по правде говоря: есть только более изощрённые пути реализации). Но явно лидирующую позицию среди других хакерских атак они заняли со второй половины 2010 года: как раз в тот момент, когда небезызвестная группа Anonymous выбрала их в качестве основного своего инструмента. Первое время никто не был к ним готов, и любые атаки злоумышленников достигали своей цели.

Положение изменилось к концу 2011 года, когда организации стали внедрять системы отражения для противодействия DoS/DDoS атакам, что побудило злоумышленников искать новые способы достигнуть своей всё той же цели и проявлять большую изобретательность. И такая изобретательность была найдена: новый вектор атак направился на DNS-сервера. За 2012 год отмечается годовой рост числа DNS-атак на 170%. Практически половина состоит из рефлектных DNS-атак, использующих отражения запросов (в т.ч. рекурсивных запросов), для осуществления которых, даже не требуется наличие DNS-сервера у организации-жертвы.

DNS-атаки являются естественным этапом эволюции DoS / DDoS-атак в целом. Если раньше сознание IT-мира воспринимало DDoS, как атаки, для эффективности которых требуется грубый шторм большого количества запросов (трафика), то сейчас DNS-атаки показывают обратное: сложные их виды могут носить асимметричный характер и быть мощными и разрушительными при относительно низкой скорости реализации и интенсивности воздействия. Подобное применение DNS-атак для реализации DoS/ DDoS – лишь одна из возможных угроз. Есть и ещё один немаловажный тип последствий, о котором в том числе и пойдёт речь дальше.

Угрозы DNS-атак. Типы.

Типов угроз в данном случае три. И они привязаны к 3-ём классическим элементам треугольника ИБ: целостности, доступности, конфиденциальности.

Итак, типы угроз DNS-атак:

1. Нарушение доступности web-ресурсов при обращении к DNS-имени.

2. Перехват практически любого проходящего траффика (по целевым ресурсам).

С типом 1 всё ясно, а вот 2 и 3 рассмотрим на примере.
Допустим жертва (т.е. один из нас) хочет войти в свой аккаунт на доверенном сайте и совершить какую-либо операцию (почта; интернет-банк, соц. сеть, . ); отправляет DNS-запрос в брауезере или спец.программе (например, ДБО); получает ложный DNS-ответ с IP сервера хакера, на котором развёрнут тот же ресурс/сервис, что нужен клиенту; клиент вводит на сайте хакера свои логин и пароль, которые, естественно, запоминаются сервером злоумышленника и потом пересылаются на настоящий сервис, откуда хакер получает ответ об успешной авторизации и последующие авторизованные страницы, которые тот просто транслирует назад своей жертве, становясь тем самым посредником между настоящим ресурсом и жертвой. Таким образом, хакер будет мало того, что видеть весь трафик, он может ещё и подменять какие-либо запросы (например, адресат получателя перевода средств в интернет-банке, если этот банк не использует аутентификацию по ЭЦП). Возможные последствия такой схемы атаки в объяснениях не нуждаются.

Схемы DNS-атак

Рассмотрим основные схемы DNS-атак, использующиеся в современное время:

Схема реализации атаки в случае, если есть доступ к трафику жертвы (случай на картинке):

Атакующий ждёт DNS-запроса от жертвы на хосте 1 (атакующий находится либо на хосте нарушителя 1, либо на хосте нарушителя 2; но может быть и где-либо ещё, где есть доступ к трафику хоста 1 (жертвы)).
После передачи хостом 1 DNS -запроса, атакующий принимает запрос, в котором запоминает ID и порт. Далее, такакующий отправляет ложный DNS-ответ, в котором подменяет поле IP -адрес DNS -сервера на свой IP , делая свой компьютер для жертвы валидным DNS -сервером.
Хост 1 принимает ложный DNS -ответ, принимает IP -адрес хакера за подлинный DNS -сервер и отправляет все последующие запросы ему.
Атакующий после получения DNS -запросов пересылает их на настоящий DNS -сервер, получает правильный ответ и пересылает его назад – жертве. Существует лёгкая возможность подменить в DNS -ответе IP любого запрашиваемого DNS -имени.

Схема реализации атаки в случае, если доступа к трафику жертвы нет :

2. Атака на кеш DNS-сервера / подмена вышестоящего DNS-сервера (атака Каминского).
Цели и угрозы: подмена доверенных объектов сети; перехват практически любого траффика жертвы.

Схема реализации атаки :

3. Атака посредством отражённых DNS-запросов.
Цели и угрозы: выведение хоста жертвы (в т.ч. DNS-сервера) из строя; падение шлюза (канала доступа в Интернет) / межсетевого экрана .

Атака посредством отражённых DNS основывается на том, что DNS-ответ всегда в 3-4 раза длиннее запроса. В некоторых случаях (у некоторых DNS-имён) размер ответного пакета может в 10 и более раз превышать размер запроса. Таким образом, благодаря этому факту и использованию UDP-проткола, стала возможна следующая схема атаки на произвольный хост в Интернете.

Схема реализации атаки :

Как видно из схемы и описания, данный тип атаки может быть организован в условиях довольно ограниченных ресурсов, достигая 4-10-кратного эффекта усиления атаки. Если при этом злоумышленник ещё и создаст определенные домены, для отправки имен которых требуются DNS-пакеты огромных размеров, то отправляя запросы только на такие доменные имена, злоумышленник может достигать 100-кратного усиления эффекта атаки.

Фактически, данный тип атаки является эволюционной разновидностью обыкновенного DDoS.

4. Атаки типа DNS-флуд, атаки с помощью рекурсивных DNS-запросов / Garbage-атаки.
Цели и угрозы: выведение DNS-сервера - жертвы - из строя .

Основа данных видов атак - простой DNS-флуд: множество хостов злоумышленника посылает массированный поток запросов на целевой DNS-сервер с ложным SRC IP (IP-адрес источника запроса). Стандартный компьютер способен генерировать 1000 запросов в секунду, стандартный DNS-сервер способен обрабатывать 10000 запросов в секунду. Путём не требующих больго напряга мозга вычислений, приходим к выводу: 10 обычных домашних (или не совсем домашних) компьютеров вполне достаточно для выведения DNS-сервера из строя. При том вычислить злоумышленника будет очень непросто.

Атака типа Garbage-DNS основывается на постоянно открытом 53 порту (стандартному порту DNS, иногда используется 80-ый). Схема атаки сводится к отправке злоумышленником (с множества хостов) больших (свыше 1500 байт) сетевых пакетов (не обязательно DNS). Таким образом, всё сводится к обычному DDoS, но на DNS-порт. Преимущество над обычным DDoS состоит в том, что 53-й порт (DNS-порт) всегда открыт в любых организациях, ибо нужен для работоспособности DNS-системы.

Рекурсивная DNS-атака сводится к выявлению множества несуществующих в кеше DNS-сервера жертвы имён (возможно, фальшивых) и последующая отправка DNS-запросов с именами из этого множества. DNS-сервер в итоге вынужден пересылать подобные запросы на все соседние и вышестоящие DNS-сервера с целью получить IP заказанного хоста. В итоге, на каждый запрос сервер вынужден посылать ещё целое множество DNS-запросов другим серверам и принимать ответы от них, на что тратятся иногда в сотни раз большие ресурсы, чем отправка одного DNS-запроса. В игоге, как и в предыдущем типе атак, имея совсем не большие ресурсы, становится реальным осуществить достаточно мощную DDoS-атаку на DNS-сервер (в отличие от отражённых DNS-атак, целью которых может быть не только DNS-сервер).

Возникает естественный вопрос: как же защититься от данного типа атак, которым, казалось бы, подвержены все DNS-сервера без исключений? (в особенности, старый добрый консервативный, но тем не менее очень популярный BIND) Оказывается, способы есть. О них подробно рассказано в следующей статье.

DNS-серверы могут использоваться не только для того, чтобы переводить доменные имена в IP-адреса. Часто они применяются для фильтрации сайтов по спискам, для противодействия вредоносным сайтам, а иногда — и для обхода некоторых ограничений. Ниже расскажем о том, что такое безопасные DNS-серверы и какие функциональные возможности они предлагают.

3.1. Cisco Umbrella
3.2. Cloudflare
3.3. DNSFilter
3.4. Google Public DNS
3.5. Neustar UltraDNS Public
3.6. Quad9
3.7. SkyDNS
3.8. Яндекс.DNS

Введение

Каждый день мы для различных целей посещаем большое количество сайтов в интернете, будь то профессиональные, обучающие, развлекательные или другие ресурсы. При этом следует проявлять бдительность, потому что одной из самых распространённых угроз безопасности, с которой может столкнуться любой человек, являются вредоносные сайты. Ежедневно злоумышленники создают большое количество таких сайтов для заражения вирусами, краж, вымогательства и прочего.

На вредоносных сайтах могут размещаться баннеры, при нажатии на которые загружается опасное содержимое. Поэтому, например, поиск в интернете нужного «софта» может закончиться загрузкой и установкой вредоносной или заражённой программы, начиная от простых вирусов и заканчивая шифровальщиками. Большую «популярность» имеют фишинговые сайты, выдающие себя за легитимные с целью заполучить пароли от различных ресурсов, данные банковских карт и др. Серьёзную опасность представляют сайты, не требующие никакого взаимодействия с пользователем кроме самого факта обращения к ним. Такие сайты содержат сценарии (скрипты), которые автоматически исполняются на стороне клиента, то есть на вашем компьютере или мобильном телефоне, и результатом их выполнения является установка шпионских программ, ботов, шифровальщиков. Угрозу также представляют сайты с запрещённым контентом: порнография, наркотики, терроризм. Стоит отметить, что они тоже нередко могут нанести вред всё теми же вирусами.

Одной из простых и доступных мер для защиты от вредоносных сайтов является использование безопасных DNS-серверов.

Что такое DNS?

Оградить вас от вредоносных ресурсов и ваших детей от нежелательного контента призваны безопасные DNS-серверы. Основной идеей здесь является постоянное отслеживание вредоносных и нежелательных сайтов, составление чёрных списков и ограничение доступа. Использование безопасных DNS-серверов увеличивает конфиденциальность ваших запросов (данные хранятся определённый промежуток времени, а затем удаляются); кроме того, некоторые сервисы осуществляют блокировку рекламы. Такие DNS-серверы могут стать хорошей заменой серверов вашего провайдера.

Обзор популярных безопасных DNS-серверов

Cisco Umbrella

В 2015 году компания Cisco купила безопасный DNS-сервис OpenDNS, создав на его базе решение Cisco Umbrella. Это — не просто безопасный DNS, а комплекс для защиты от угроз из интернета, включающий в себя также межсетевой экран, веб-прокси с возможностью анализа файлов в изолированной виртуальной среде, инструменты для проведения расследований. Сервис располагается в облаке и ориентирован на корпоративных клиентов. Управление им осуществляется на веб-странице Cisco Umbrella. На корпоративном DNS-сервере настраивается перенаправление DNS на IP-адреса 208.67.222.222 и 208.67.220.220, и далее на странице Cisco Umbrella добавляется сеть компании-клиента. Политики для клиентов содержат большое количество настроек: выбор категорий сайтов и контента на них для блокировки, блокировка в зависимости от используемого приложения, а также блокировка по конкретным именам доменов. Остальные функции в рамках нашей темы описывать не будем. Cisco Umbrella занимает 3-е место по производительности в рейтинге независимого сервиса по мониторингу DNS-серверов DNSPerf.

Cloudflare

DNSFilter

Компания DNSFilter создавала свой сервис с 2015 года на протяжении трёх лет. DNSFilter — полностью платная служба с поддержкой различных функций безопасности. Среди основных — DNSSEC, DNS over TLS (шифрование запросов), классификация сайтов в режиме реального времени, защита от ботнетов и фишинга. Можно пользоваться сервисом дома или на базе своего предприятия с возможностью хранить журналы запросов клиентов и настраивать политики. Адреса серверов DNSFilter — 102.247.36.36 и 103.247.37.37. Цена подписки — от 216 до 1069 долларов США в год, в зависимости от набора функций и вариантов использования. В рейтинге сервиса DNSPerf он занимает 2-е место по скорости.

Google Public DNS

Neustar UltraDNS Public

Бесплатный DNS-сервис от американской компании Neustar. Сервис предлагает несколько серверов с различной степенью фильтрации. Серверы с адресами 64.6.64.6 и 64.6.65.6 предоставляют быстрый и надёжный поиск запрашиваемых ресурсов без блокировок. Блокировка вредоносных, фишинговых, шпионских сайтов выполняется при указании адресов 156.154.70.2 и 156.154.71.2. Если вы хотите ограничить сайты содержащие контент с порнографией, насилием, азартными играми, то установите в качестве DNS-серверов IP-адреса 156.154.70.3 и 156.154.71.3. Сервис находится на пятом месте в рейтинге DNSPerf.

Quad9

Ещё один хороший бесплатный сервис. Внимание здесь уделено не только фильтрации вредоносных ресурсов, но и вашей конфиденциальности. На сайте Quad9 указано, что при использовании этого сервиса ваш IP-адрес никогда не регистрируется на его серверах. Сервис использует как коммерческие, так и общедоступные источники данных по угрозам безопасности. Контентная фильтрация при его работе, впрочем, не осуществляется. Для использования Quad9 нужно задать в настройках DNS IP-адреса 9.9.9.9 и 149.112.112.112. Сервис размещается на 7-й строчке рейтинга DNSPerf.

SkyDNS

Яндекс.DNS

Сервис от всем известной российской компании работает с 2013 года. Полностью бесплатен, имеет три режима работы. Базовый вариант — IP-адреса 77.88.8.8 и 77.88.8.1 — не осуществляет фильтрацию при запросах. Безопасный режим — 77.88.8.88 и 77.88.8.2 — блокирует вредоносные сайты. Третий набор серверов — 77.88.8.7 и 77.88.8.3 — осуществляет контентную фильтрацию материалов для взрослых. Яндекс.DNS замыкает первую десятку рейтинга DNSPerf, но поскольку существует огромное количество сервисов, это в целом говорит о хорошей производительности.

Как выбрать DNS-сервер?

Для выбора DNS-сервиса можно воспользоваться уже упомянутым сервисом DNSPerf.

Рисунок 1. Рейтинг DNSPerf

Выберите регион, в котором вы находитесь, или общие значения по миру, и сервис покажет время отклика DNS-сервисов на запросы, время безотказной работы и качество обслуживания. Качество DNS-сервиса зависит от доступности и количества серверов: например, если сервис имеет четыре сервера и один из них недоступен, то качество будет равно 75 %.

Для определения самого быстрого DNS-сервера конкретно для вашего компьютера можно воспользоваться программой DNS Jumper. При запуске теста «Быстрый DNS» она опросит все доступные серверы и покажет время их отклика.

Рисунок 2. Быстрый тест DNS Jumper

Как установить адреса DNS-серверов

Рассказ о безопасных DNS-серверах был бы неполным без краткой инструкции по настройке для домашних пользователей. Мы покажем нужные действия на примере Windows 10.

В Панели управления Windows, в категории «Сеть и Интернет» понадобится нажать на «Центр управления сетями и общим доступом». В правой верхней части страницы будет доступна ссылка на состояние активного подключения (см. рис. 3, где оно называется «Ethernet»). В окне состояния, которое открывается при нажатии на ссылку, присутствует кнопка «Свойства»; обратите внимание, что для изменения свойств нужны права администратора. В перечне свойств выделите щелчком пункт «IP версии 4 (TCP/IPv4)», нажмите на кнопку «Свойства» и в открывшемся окне установите переключатель «Использовать следующие адреса DNS-серверов». Введите основной и запасной адреса от того поставщика услуг, который вас заинтересовал, и нажмите кнопку «ОК» в этом и предыдущем окнах.

Рисунок 3. Настройка DNS-серверов для домашнего пользователя в Windows 10

Выводы

Попробовать пользоваться безопасными DNS однозначно стоит. Вы укрепите свою защиту в интернете и при этом вряд ли почувствуете какую-то разницу в скорости. При выборе сервисов Cloudflare, Яндекс.DNS, Google, Neustar, Quad9 вы бесплатно оградите себя от фальшивых сайтов и в некоторых случаях сможете закрыть доступ к нежелательному контенту. Для защиты организаций больше подойдут решения от Cisco и DNSFilter с большим разнообразием возможностей и настроек. Если стоит задача по защите детей в интернете, то целесообразно рассмотреть сервис SkyDNS, который предоставляет интересные функциональные возможности за небольшую цену.

Подмена сервера доменных имен (DNS) — это кибератака, с помощью которой злоумышленник направляет трафик жертвы на вредоносный сайт (вместо легитимного IP-адреса). Злоумышленники используют метод «отравления» кэша DNS для перехвата интернет-трафика и кражи учетных данных или конфиденциальной информации. Отравление кэша DNS и подмена DNS — тождественные понятия, часто используемые как синонимы. Хакер хочет обманом заставить пользователей ввести личные данные на небезопасном сайте. Как ему этого добиться? С помощью отравления кэша DNS. Для этого хакер подменяет или заменяет данные DNS для определенного сайта, а затем перенаправляет жертву на сервер злоумышленника вместо легитимного сервера. Таким образом хакер добивается своей цели, ведь перед ним открываются широкие возможности: он может совершить фишинговую атаку, украсть данные или даже внедрить в систему жертвы вредоносную программу.

Что такое подмена DNS и отравление кэша?

Примеры и последствия отравления кэша DNS

Концепция DNS не приспособлена к специфике современного интернета. Конечно, со временем DNS был усовершенствован, однако сейчас по-прежнему достаточно одного неправильно настроенного DNS-сервера, чтобы миллионы пользователей ощутили на себе последствия. Пример — атака на WikiLeaks, когда злоумышленники с помощью отравления кэша DNS перехватывали трафик, перенаправляя его на собственный клон сайта. Целью этой атаки было увести трафик с WikiLeaks, и она достигла определенного успеха. Отравление кэша DNS весьма непросто обнаружить обычным пользователям. В настоящее время система DNS построена на доверии, и это является ее слабым местом. Люди чересчур сильно доверяют DNS и никогда не проверяют, соответствует ли адрес в их браузере тому, что им в действительности нужно. Злоумышленники же пользуются этой беспечностью и невнимательностью для кражи учетных данных и другой важной информации.

Как работает отравление кэша DNS?

Отравление кэша DNS означает, что на ближайшем к вам DNS-сервере содержится запись, отправляющая вас по неверному адресу, который, как правило, контролируется злоумышленником. Существует ряд методов, которые используют злоумышленники для отравления кэша DNS.

Перехват трафика локальной сети с помощью подмены протокола ARP

Вы удивитесь, насколько уязвимой может быть локальная сеть. Многие администраторы могут пребывать в уверенности, что перекрыли все возможные доступы, но, как известно, дьявол кроется в деталях.

Одна из распространенных проблем — сотрудники, работающие удаленно. Можно ли быть уверенными, что их сеть Wi-Fi защищена? Хакеры могут взломать слабый пароль от сети Wi-Fi за считанные часы.

Эксплойт Каминского

Как обнаружить отравление кэша DNS?

Способы защиты от отравления кэша DNS

И, наконец, используйте зашифрованные DNS-запросы. Модули безопасности службы доменных имен (DNSSEC) — это протокол DNS, который использует подписанные DNS-запросы для предотвращения их подмены. При использовании DNSSEC, DNS-резолверу необходимо проверить подпись на уполномоченном DNS-сервере, что замедляет весь процесс. Вследствие этого DNSSEC пока не получил широкого распространения.

Подмена DNS заменяет легитимный IP-адрес сайта на IP-адрес компьютера хакера. Обнаружить подмену очень непросто, ведь с точки зрения конечного пользователя он вводит в браузере абсолютно нормальный адрес сайта. Несмотря на это остановить подобную атаку можно. Риски снизить можно, используя мониторинг DNS, например, от Varonis, а также стандарт шифрования DNS поверх TLS (DoT).

Отравление кэша: часто задаваемые вопросы

Ознакомьтесь с распространенными вопросами о подмене DNS и ответами на них.

Отравление кэша DNS и подмена кэша DNS (спуфинг) — это одно и то же?

Да, отравлением кэша и подменой кэша называют один и тот же тип кибератаки.

Как работает отравление кэша DNS?

Отравление кэша обманывает ваш DNS-сервер, сохраняя на нём поддельную запись DNS. После этого трафик перенаправляется на сервер, выбранный хакером, и там осуществляется кража данных.

Какие меры безопасности можно применять для защиты от отравления кэша DNS?

Как проверить, подверглись ли вы атаке с отравлением кэша?

После того как кэш DNS был отравлен, это сложно обнаружить. Куда лучшая тактика — осуществлять мониторинг ваших данных и защищать систему от вредоносных программ, чтобы уберечься от утечек данных в следствие отравления кэша DNS. Посетите нашу интерактивную лабораторию кибератак, чтобы увидеть, как мы используем мониторинг DNS для обнаружения реальных угроз кибербезопасности.

Как работает связь DNS?

Как злоумышленники отравляют кэш DNS?

Способов отравления кэша много, и вот самые распространенные из них: принудить жертву нажать на вредоносную ссылку, использующую встроенный код для изменения кэша DNS в браузере пользователя; взлом локального DNS-сервера с помощью «атаки через посредника». Вышеупомянутая «атака через посредника» использует подмену протокола разрешения адресов (ARP) для перенаправления DNS-запросов на DNS-сервер, контролируемый злоумышленником.

Что такое отравление кэша DNS?

Отравление кэша DNS — это действия по замене записи в базе данных DNS на IP-адрес, ведущий на вредоносный сервер, контролируемый злоумышленником.

Как выполняется подмена DNS?

Хакер выполняет атаку с подменой DNS, получая доступ и изменяя кэш DNS или перенаправляя запросы DNS на свой собственный DNS-сервер.

Существует множество DNS-решений: BIND, Microsoft DNS Server, Open DNS и другие. Все они требуют защиты. Ведь, если хакер атакует DNS-сервер, то пользователи будут попадаться в ловушку, даже не подозревая об этом.

Содержание

Чем опасны DNS-атаки

Атаки на DNS можно условно разделить на две категории.

Первая категория – это атаки на уязвимости в DNS-серверах. С этим подвидом атак связаны следующие опасности:

Во–первых, в результате DNS-атак пользователь рискует не попасть на нужную страницу. При вводе адреса сайта атакованный DNS будет перенаправлять запрос на подставные страницы.
Во–вторых, в результате перехода пользователя на ложный IP–адрес хакер может получить доступ к его личной информации. При этом пользователь даже не будет подозревать, что его информация рассекречена.

Вторая категория – это DDoS-атаки, приводящие к неработоспособности DNS-сервера. При недоступности DNS-сервера пользователь не сможет попасть на нужную ему страницу, так как его браузер не сможет найти IP-адрес, соответствующий введённому адресу сайта. DDoS-атаки на DNS-сервера могут осуществляться как за счёт невысокой производительности DNS-сервера, так и за счёт недостаточной ширины канала связи. Потенциально DDoS-атаки второго вида могут иметь мощность до 70 Гбит/с при использовании техник наподобие DNS Amplification и пр.

Инциденты

В октябре 2002 года неизвестные пытались "задедосить" 10 из 13 DNS–серверов верхнего уровня.

В декабре 2009 года из-за подмены DNS–записи в течение часа для пользователей был недоступен сервис Twitter. Акция носила политический характер, и вместо интерфейса социальной сети на главной странице ресурса отображались предостережения иранских хакеров по поводу американской агрессии.

В 2009 году, злоумышленники пытались нарушить работу как минимум двух корневых DNS-серверов.

2012 год был годом DNS-атак. Хотя DNS-атаки уже давно известны, за 2012 год они возникали гораздо чаще обычного, и, что более важно, – они стали более изощренными и влекут за собой более серьезные последствия.

Почему популярность DNS-атак возросла? Ответ можно найти, изучив недавнюю историю DoS/DDoS-атак. Хотя DoS/DDoS-атаки появились одновременно с появлением сети Интернет, они заняли лидирующую позицию среди атак со второй половины 2010, в частности с тех пор, как группа Anonymous выбрала их в качестве основного метода нападения. Вначале организации были абсолютно не готовы к защите, и любые атаки злоумышленников достигали цели.

Положение изменилось к концу 2011 года, когда организации стали внедрять системы отражения для противодействия DoS/DDoS атакам, что побудило злоумышленников искать пути обхода защитных систем, используя более изощренные векторы атак. При таком положении вещей DNS-сервер стал подходящей целью. Изучив информацию об атаках за 2012 год, можно отметить рост числа DNS-атак на 170% по сравнению с 2011 годом. Почти половина состоит из изощренных атак с использованием отражения запросов или рекурсивных запросов, для осуществления которых, даже не требуется наличия DNS-сервера у организации, являющейся целью атаки.

DNS-атаки показывают динамику развития сферы DoS/DDoS в целом. Несмотря на часто встречающееся наивное восприятие DoS/DDoS как атак, для эффективности которых требуется грубая отправки большого количества трафика, DNS-атаки доказывают обратное. Сложные DNS-атаки могут носить асимметричный характер, и могут быть мощными и разрушительными при относительно низкой скорости и интенсивности атаки. Растущая сложность относится не только к DNS-атакам, но является общей чертой развития сферы DoS/DDoS-атак.

В 2012 году были проведены крупномасштабные DNS-атаки на следующие авторитетные организации:

Статистика атак в мире

2020: Индия стала лидером по DNS-атакам

В середине июня 2020 года компания по кибербезопасности EfficientIP опубликовала отчет по DNS-атакам, согласно которому Индия стала лидером по этому виду киберугроз. В стране было зафиксировано самое большое количество таких атак, по 12,13 на организацию, а индийские фирмы потеряли по меньшей мере $784 000.

Хакеры украли конфиденциальную информацию о клиентах почти 27% индийских компаний, тогда как во всем остальном мире эта доля составила 16%. В результате атак время простоя облачных сервисов в стране достигло 65%.

EfficientIP опубликовала отчет по DNS-атакам, согласно которому Индия стала лидером по этому виду киберугроз

DNS-спуфинг, также известный как отравление кэша DNS, является одной из форм взлома компьютерных сетей, в котором данные кэша доменных имен изменяются злоумышленником, с целью возврата ложного IP-адреса. Это приводит к атаке посредника на компьютер злоумышленника (или любой другой компьютер). Последствия таких атак могут серьезно пошатнуть финансовое положение компании и даже полностью потопить бизнес. Специалисты, подготовившие отчет, считают, что обеспечение доступности и целостности службы DNS должно стать приоритетом для любой организации.

Во всем мире 79% организаций рано или поздно подвергались DNS-атакам, при этом каждая обходилась в среднем в $924 000. В 2020 году отмечалось по 9,5 атак на организацию. В отчете также указано, что число предприятий, пострадавших от простоя облачных сервисов, увеличилось с 41% в 2019 году до 50% в 2020 году. При этом 25% компаний не проводят аналитику своего DNS-трафика. [1]

Виды атак

Основной причиной такой подверженности DNS-систем угрозам является то, что они работают по протоколу UDP, более уязвимому, чем TCP.

Существует несколько способов атаки на DNS. Первый тип – это создание обманного DNS-сервера вследствие перехвата запроса. Механизм данной атаки очень прост. Хакер – атакующий, ждет DNS-запроса от компьютера жертвы. После того как атакующий получил запрос, он извлекает из перехваченного пакета IP–адрес запрошенного хоста. Затем генерируется пакет, в котором злоумышленник представляется целевым DNS–сервером. Сама генерация ответного пакета так же проста: хакер в ложном ответе жертве в поле IP DNS–сервера прописывает свой IP. Теперь компьютер жертвы принимает атакующего за реальный DNS. Когда клиент отправляет очередной пакет, атакующий меняет в нем IP-адрес отправителя и пересылает далее на DNS. В результате настоящий DNS-сервер считает, что запросы отправляет хакер, а не жертва. Таким образом, атакующий становится посредником между клиентом и реальным DNS–сервером. Далее хакер может исправлять запросы жертвы по своему усмотрению и отправлять их на реальный DNS. Но перехватить запрос можно, только если атакующая машина находится на пути основного трафика или в сегменте DNS–сервера.

Второй способ атаки применяется удаленно, если нет доступа к трафику клиента. Для генерации ложного ответа необходимо выполнение нескольких пунктов. Во-первых, совпадение IP-адреса отправителя ответа с адресом DNS-сервера. Затем, совпадение имен, содержащихся в DNS–ответе и запросе. Кроме того, DNS–ответ должен посылаться на тот же порт, с которого был отправлен запрос. Ну и, наконец, в пакете DNS–ответа поле ID должно совпадать с ID в запросе.

Третий метод направлен на атаку непосредственно DNS–сервера. В результате такой атаки по ложным IP-адресам будет ходить не отдельный клиент-жертва, а все пользователи, обратившиеся к атакованному DNS. Как и в предыдущем случае, атака может проводиться из любой точки сети. При отправке клиентом запроса на DNS–сервер, последний начинает искать в своем кэше подобный запрос. Если до жертвы такой запрос никто не посылал, и он не был занесен в кэш, сервер начинает посылать запросы на другие DNS-сервера сети в поисках IP–адреса, соответствующего запрошенному хосту.

Для атаки хакер посылает запрос, который заставляет сервер обращаться к другим узлам сети и ждать от них ответа. Отправив запрос, злоумышленник начинает атаковать DNS потоком ложных ответных пакетов. Напоминает ситуацию из предыдущего метода, но хакеру не надо подбирать порт, так как все сервера DNS "общаются" по выделенному 53 порту. Остается только подобрать ID. Когда сервер получит ложный ответный пакет с подходящим ID, он начнет воспринимать хакера как DNS и даст клиенту IP–адрес, посланный атакующим компьютером. Далее запрос будет занесен в кэш, и при последующих подобных запросах пользователи будут переходить на подставной IP.

Простой DNS-флуд

Используя простой DNS-флуд, злоумышленник отправляет множественные DNS-запросы на DNS-сервер, переполняя сервер запросами и потребляя его ресурсы. Такой метод атаки является привлекательным, поскольку он относительно прост в исполнении и позволяет скрыть личность злоумышленников.

Злоумышленник генерирует DNS-пакеты, которые отправляются посредством UDP-протокола на DNS-сервер. Стандартный ПК может сгенерировать 1000 DNS-запросов в секунду, тогда как обычный DNS-сервер может обработать только 10000 DNS-запросов в секунду. Другими словами, для того, чтобы вывести из строя DNS-сервер, потребуется всего 10 компьютеров. Поскольку DNS-сервера главным образом используют UDP-протокол, злоумышленникам не требуется устанавливать соединения, и они могут изменить IP-адрес источника и замаскироваться. Это свойство также на руку злоумышленниками – атаку, исходящую от множества измененных IP-адресов источника, тяжелее отразить, чем ту, которая исходит от ограниченного списка IP-адресов.

Атака посредством отраженных DNS-запросов

Благодаря асимметричному характеру, атака с помощью отраженных DNS-запросов позволяет создать эффект переполнения, имея в распоряжении ограниченные ресурсы.

Злоумышленник отправляет DNS-запрос на один или несколько сторонних DNS-серверов, которые не являются реальными объектами нападения. Злоумышленники изменяют IP-адрес источника DNS-запроса на IP-адрес целевого сервера (объекта нападения), тогда ответ сторонних серверов будет отправлен на сервер, который является целью нападения.

В процессе атаки используется эффект усиления, при котором ответ на DNS-запрос в 3-10 раз больше, чем сам DNS-запрос. Другими словами, на атакуемый сервер поступает гораздо больше трафика по сравнению с небольшим количеством запросов, сгенерированных злоумышленником. Атака посредством отраженных запросов демонстрирует, что организации не требуется владеть DNS-сервером, чтобы стать объектом DNS-атаки, поскольку целью атаки является вывод из строя канала интернет-соединения или межсетевого экрана.

Атаки, выполняемые посредством отраженных DNS-запросов, могут включать несколько уровней усиления:

Естественный – DNS-пакеты, отправляемые в ответ на запрос, в несколько раз крупнее пакетов, которые отправляются при запросе. Таким образом, даже самая базовая атака может получить 3-4 кратное усиление.
Выборочный – ответы на DNS-запросы имеют различный размер: в ответ на некоторые DNS-запросы отправляется короткий ответ, в ответ на другие ответ гораздо больше. Более находчивый злоумышленник может сначала определить, какие доменные имена в ответе сервера имеют больший размер. Отправляя запросы только для таких доменных имен, злоумышленник может достигать 10-кратного усиления.
Настроенный вручную – на высоком уровне злоумышленники могут разработать определенные домены, для отправки имен которых требуется пакеты огромных размеров. Отправляя запросы только на такие специально созданные доменные имена, злоумышленник может достигать 100-кратного усиления.

Степень анонимности при такой атаке возрастает с увеличением ее размаха. Помимо изменения SRC IP (как при простом DNS-флуде), атака сама по себе производится не напрямую – запросы на атакуемый сервер отправляются сторонним сервером.

Атака с помощью рекурсивных DNS-запросов

Атака посредством рекурсивных запросов является наиболее сложным и асимметричным методом атаки на DNS-сервер, для ее организации требуются минимальные вычислительные ресурсы, а результат приводит к интенсивному потреблению ресурсов DNS-сервера, который подвергается нападению.

Асимметричный характер рекурсивной атаки и низкая скорость затрудняют борьбу с такими атаками. Рекурсивная атака может быть пропущена как системами защиты, так и людьми, которые больше сосредоточены на выявлении атак с большим объемом.

Атака типа Garbage DNS

Как подразумевает ее название, такая атака переполняет DNS-сервер «мусорным» трафиком, отправляя пакеты данных большого размера (1500 байт или больше) на его UDP-порт 53. Концепция такой атаки состоит в том, чтобы переполнить сетевой канал пакетами данных большого размера. Злоумышленники могут генерировать потоки «мусорных» пакетов и с помощью других протоколов (UDP-порт 80 также часто используется); но при использовании других протоколов объект может остановить атаку, заблокировав порт на уровне ISP без каких-либо последствий. Протоколом, для которого такая защита недоступна, является протокол DNS, поскольку большинство организаций никогда не закроет этот порт.

Защита от атак

Domain Name System Security Extensions

Для обеспечения безопасности DNS планируется развертывание Domain Name System Security Extensions (DNSSEC). Однако DNSSEC не может оказать противодействие DDoS-атакам и сам по себе может быть причиной amplification-атак.

Атаки на DNS приобрели высокую популярность, поскольку они предоставляют злоумышленникам множество преимуществ:

Мы живем в стремительно развивающемся технологическом мире, где практически все оцифровано. Эта цифровизация действительно очень плодотворна, и этот огромный мир сведен к нашим пальцам. Тем не менее, со всеми удивительными вещами, безусловно, есть некоторые недостатки.

С технологией возникает опасность ее неправильного использования. Конечно, технологии привели к революционным изменениям в обществе, которые питают наши потребности, но, несомненно, есть много фонов.

Проблемы, связанные с кибербезопасностью, являются одной из главных проблем людей и аналитиков. Одной из таких угроз является перехват DNS, от которой надеялись избавиться все технологи.

Однако в связи с недавними атаками DNS на высокопроизводительные платформы, такие как Google Cloud, Gmail, Netflix и PayPal, опасность перехвата DNS возрастает. Эта статья содержит информацию о:

Перехват DNS
Это типы
Методы защиты.

Давайте начнем с понимания угона DNS.

Что такое перехват DNS?

Атака перехвата DNS – это злонамеренная атака, при которой пользователь перенаправляется на сервер доменных имен (DNS) с преобладанием IP-адресов устройства пользователя. Хакеры выполняют эту операцию, просто изменяя настройки сервера пользователя или с помощью вредоносных программ.

Как только угонщик преуспеет во взломе DNS человека, он может контролировать трафик устройства по своей воле. Угон DNS играет роль как в фишинге, так и в фарминге. Некоторые правительства, а также интернет-провайдеры используют перехват DNS.

Интернет-провайдеры используют перехват DNS исключительно в коммерческих целях. В основном они используют его как средство сбора данных и статистики для показа рекламы пользователям, когда они получают доступ через неизвестный домен. Правительства применяют его для перенаправления на разрешенный правительством контент, а также для введения цензуры.

Существует два основных типа перехвата DNS:

Первый тип заражает пользователя атаками DNS-троянов или вредоносными программами. Это предотвращает компьютер от дружественных доменных имен к соответствующим IP-адресам.
В типе перехвата DNS, хакер проникает на сайты и меняет их адреса DNS. Таким образом, когда пользователь заходит на сайт, открывается совершенно другой.

Типы перехвата DNS:

Угон DNS может происходить четырьмя различными способами. Эти четыре основных типа атак определены ниже:

1. Маршрутизатор DNS Hijack:

Большинство маршрутизаторов поставляются с паролями по умолчанию, а также с уязвимостями встроенного программного обеспечения. В этом методе атаки угонщик тихо взламывает DNS-маршрутизатор и принимает настройки DNS. Таким образом, затрагиваются все пользователи, подключенные к маршрутизатору.

2. Локальная перехват DNS

Таким образом, злоумышленникам удается установить троянское программное обеспечение на компьютер жертвы. Благодаря этому он приводит к изменению локальных настроек DNS компьютера. Это позволяет ему перенаправлять пользователя на вредоносные сайты.

3. Руж DNS атаки:

В этом хакер атакует сервер DNS. Затем он приступает к изменению записей DNS. Изменяя записи DNS, хакер перенаправляет пользователя на вредоносные сайты.

4. Атака «человек посередине»:

В этом типе атаки хакеру удается вмешаться в коммуникацию между пользователем и DNS-сервером. Таким образом он может затем предоставить пользователю другую точку IP-адреса назначения, которая направлена на вредоносные сайты.

Угон DNS и фишинг:

Фишинг является одной из наиболее распространенных проблем в кибербезопасности. Перехват DNS является неотъемлемой частью фишинг-атаки.

Атака DNS-перехвата, при которой пользователь перенаправляется на вредоносную ссылку. Эта вредоносная ссылка обычно представляет собой усовершенствованную копию исходного веб-сайта, который пользователь планирует посетить.

Это угроза для пользователей, а также конфиденциальность сайта. Например, вы становитесь объектом фишинг-атаки при доступе к веб-сайту своего банка. Ваш сайт банка взломан, и вы будете перенаправлены.

Поскольку сайт изначально взломан, вы в конечном итоге отправите свою информацию, а также учетные данные на поддельный сайт хакера, и, таким образом, ваша информация будет утечка.

DNS угон и фарминг:

Эта атака имеет функцию перенаправления пользователя на поддельный веб-сайт. Этот угон делается в основном для коммерческих целей.

Допустим, например, что вы пытаетесь зайти на сайт социальной сети. Вы вводите URL, но вместо того, чтобы быть направленным на платформу, вы перенаправлены.

Ссылка, которая открывается после перенаправления, содержит множество всплывающих рекламных объявлений, которые приносят доход злоумышленнику.

Этот метод обычно известен как фарминг. В нем хакер организует атаку с основным мотивом зарабатывания на ней денег.

Как защититься от перехвата DNS?

Атаки DNS-перехвата особенно коварны. Возможно, вы атакованы DNS-хакером, и иногда вы даже не узнаете об этом. Вот почему лучше предпринять меры предосторожности и повысить безопасность, а не сожалеть позже.

Во-первых, лучше поддерживать безопасность на высоком уровне, используя самые распространенные методы защиты. Есть некоторые основные вещи, которые нужно обязательно использовать, такие как:

Наличие обновленного программного обеспечения безопасности
Убедитесь, что исправления безопасности не повреждены, прежде чем выходить в интернет
Не нажимайте на подозрительные ссылки и не открывайте неизвестные электронные письма.

Помимо этого есть много других проверенных и проверенных способов избежать взлома DNS:

1. Часто обновляйте пароль вашего роутера:

В маршрутизаторы обычно оснащены по умолчанию заводской пароль. Чтобы оставаться защищенным, лучше постоянно менять настройки маршрутизатора.

Если хакер решит нацелиться на ваш роутер и попытаться получить к нему доступ для внесения изменений, он получит пользовательский пароль, а не заводской. Это может помочь предотвратить доступ хакера к маршрутизатору.

2. Подписаться на услугу VPN:

VPN лучше всего известны для защиты вашей конфиденциальности. Они, как известно, являются наиболее эффективным способом защиты от перехвата DNS.

VPN зашифровывает ваши данные и воспринимает их через туннель, поэтому их невозможно узнать всем, у кого нет ключа шифрования.

3. Не будь в темноте:

Поскольку вы осведомлены о возможных DNS-атаках, то выход из ситуации – знать, подвергаетесь ли вы DNS-атакам или нет.

Лучший способ отследить перехват DNS – использовать утилиту ping. Это метод, при котором вы пытаетесь пропинговать домен, которого, как вы уверены, не существует.

Если неизвестный домен разрешается, то есть вероятность того, что вы находитесь под атакой DNS.

Прощальные слова:

Находясь в сети, лучше сохранять бдительность в отношении киберугроз! Лучше использовать несколько инструментов безопасности, которые доступны для защиты!

Интернет опасный мир во всем. Здесь намного лучше оставаться в безопасности, а потом сожалеть!

Читайте также: