Dns sinkhole что это

Обновлено: 07.07.2024

Одним из наиболее важных «нововведений» в области вредоносных программ за последнее десятилетие является так называемый алгоритм генерации доменов (DGA). DGA - это техника автоматизации, которую злоумышленники используют для защиты от защитников защищающих сотрудников от атак. Хотя DGA используется уже более 10 лет, он все еще является мощной техникой, с которой безопасникам приходится сталкиваться. К счастью, сейчас появляются новые технологии, которые могут лучше противостоять DGA.

Злоумышленники разработали DGA, чтобы вредоносная программа могла быстро создать список доменов, которые она может использовать для сайтов, которые дают ей инструкции и получают информацию от вредоносной программы (обычно называемую «command & control» или C2 или система управления бот-сетями).

Злоумышленники используют DGA, чтобы быстро переходить на новые домены, которые они используют для работы своих вредоносных программ. Злоумышленники делают это, потому что программное обеспечение для обеспечения безопасности и поставщики действуют быстро, чтобы блокировать и уничтожать вредоносные домены, которые использует вредоносное ПО. Злоумышленники разработали DGA специально для противодействия этим действиям, чтобы стать еще быстрее.

В прошлом злоумышленники вели постоянный список вредоносных доменов. Безопасники могут легко взять этот список и начать блокировать и даже уничтожать эти сайты. Используя алгоритм для построения постоянного нового списка доменов, безопасникам становится сложнее знать или предсказать, какие домены будут использоваться, чем если бы у них был простой список доменов. Чтобы получить список доменов, которые будут использовать вредоносные программы, защитники должны изучить алгоритм, который может быть сложным.

Удаление сайтов, на которых работает вредоносное ПО использующее DGA, сложно осуществить, поскольку безопасникам приходится проходить через процесс работы с интернет-провайдерами, чтобы уничтожить эти вредоносные домены один за другим. Многие DGA созданы для использования сотен или даже тысяч доменов. И эти домены часто работают только в течение ограниченного периода времени. В этой ситуации блокирование и удаление доменов, связанных с DGA, быстро превращается в игру «ударить крота», которая иногда бесполезна.

Почему я должен переживать, что это может сделать с моей компанией?

DGA сама по себе не может навредить вам. Но это важная часть, которая позволяет современным вредоносным программам пытаться избежать блокировки и контрмер безопасности. Важность и полезность DGA для хакеров лучше всего подтверждается тем фактом, что техника регулярно и постоянно используется по крайней мере с 2008 года. DGA был ключевым компонентом атак Conficker в 2008 и 2009 годах и частью его успеха.

Что я могу с этим поделать?

Поскольку DGA - это метод, который гарантирует успешность атак вредоносных программ, то, вы можете начать участвовать в программе нахождения доменов DGA:

Новые технологии анти-DGA, которые используют машинное обучение и big data, способны противостоять автоматизации DGA с помощью собственного автоматического прогнозирования, которое может предвидеть, блокировать, помогать в удалении вредоносных сайтов или даже, в некоторых случаях, предотвращать использование этих вредоносных сайтов в первое место.

А что на практике?

Итак в современные NGFW были встроены две новые техники защиты DNS и они служат одной цели, но появились в разное время: DNS Sinkholing и Anti-DGA. Давайте разберем это.

У Palo Alto Networks механизм anti-DGA реализован и называется DNS Security.

На картинке видно журнал, где показано что видит DNS Security в Palo Alto Networks, и подобнее уже было описано тут. Посмотрите какие там имена доменов - чтобы определить компьютер ли этот адрес сгенерировал или человек и используется machine learning и big data.

Также я записал об это короткое видео с рассказом как выглядит архитектура защиты и как выглядят журналы системы защиты в самом NGFW.

DNS воронка , также известная как сливной сервер , интернет - выгребная яма , или Blackhole DNS является DNS - сервером , который выдает ложный результат для доменного имени .

СОДЕРЖАНИЕ

Операция

Когда компьютер посещает источник DNS для разрешения доменного имени, провайдер, если возможно, выдаст результат, а если нет, он отправит систему разрешения провайдеру более высокого уровня, чтобы он попробовал еще раз. Чем выше в этой цепочке находится DNS Sinkhole, тем больше запросов он получит, тем более положительный эффект он окажет.

Отключение на уровне сети

Воронка - это стандартный DNS-сервер, настроенный для выдачи немаршрутизируемых адресов для всех доменов в воронке, так что каждый компьютер, который его использует, не сможет получить доступ к реальному сайту. Чем выше в цепочке разрешения DNS находится воронка, тем больше запросов он будет блокировать, поскольку будет предоставлять ответы большему количеству серверов NS с более низким уровнем, которые, в свою очередь, будут обслуживать большее количество клиентов. Некоторые из более крупных ботнетов стали непригодными для использования из-за провалов TLD, которые охватывают весь Интернет. DNS Sinkholes эффективны при обнаружении и блокировании вредоносного трафика, а также используются для борьбы с ботами и другим нежелательным трафиком.

Отключение на уровне хоста

По умолчанию файл локальных хостов на компьютере под управлением Microsoft Windows , Unix или Linux проверяется перед DNS-серверами, а также может использоваться для блокировки сайтов таким же образом.

Приложения

Воронки могут использоваться как конструктивно, как это было сделано для сдерживания угроз WannaCry и Avalanche , так и деструктивно, например, для нарушения работы служб DNS при DoS- атаке.

Одно из применений - остановить бот-сети , прерывая DNS-имена, которые ботнет запрограммирован на использование для координации. Чаще всего воронку на основе файлов хостов используют для блокировки сайтов показа рекламы . Показ рекламы также можно заблокировать (например, с помощью Pi-hole ) с помощью локально запущенного DNS-сервера на компьютере или в локальной сети, эффективно блокируя рекламу для всех устройств в сети.

использованная литература

Эта статья о доменном имени в Интернете является незавершенной . Вы можете помочь Википедии, расширив ее .

Подмена сервера доменных имен (DNS) — это кибератака, с помощью которой злоумышленник направляет трафик жертвы на вредоносный сайт (вместо легитимного IP-адреса). Злоумышленники используют метод «отравления» кэша DNS для перехвата интернет-трафика и кражи учетных данных или конфиденциальной информации. Отравление кэша DNS и подмена DNS — тождественные понятия, часто используемые как синонимы. Хакер хочет обманом заставить пользователей ввести личные данные на небезопасном сайте. Как ему этого добиться? С помощью отравления кэша DNS. Для этого хакер подменяет или заменяет данные DNS для определенного сайта, а затем перенаправляет жертву на сервер злоумышленника вместо легитимного сервера. Таким образом хакер добивается своей цели, ведь перед ним открываются широкие возможности: он может совершить фишинговую атаку, украсть данные или даже внедрить в систему жертвы вредоносную программу.

Что такое подмена DNS и отравление кэша?

Примеры и последствия отравления кэша DNS

Концепция DNS не приспособлена к специфике современного интернета. Конечно, со временем DNS был усовершенствован, однако сейчас по-прежнему достаточно одного неправильно настроенного DNS-сервера, чтобы миллионы пользователей ощутили на себе последствия. Пример — атака на WikiLeaks, когда злоумышленники с помощью отравления кэша DNS перехватывали трафик, перенаправляя его на собственный клон сайта. Целью этой атаки было увести трафик с WikiLeaks, и она достигла определенного успеха. Отравление кэша DNS весьма непросто обнаружить обычным пользователям. В настоящее время система DNS построена на доверии, и это является ее слабым местом. Люди чересчур сильно доверяют DNS и никогда не проверяют, соответствует ли адрес в их браузере тому, что им в действительности нужно. Злоумышленники же пользуются этой беспечностью и невнимательностью для кражи учетных данных и другой важной информации.

Как работает отравление кэша DNS?

Отравление кэша DNS означает, что на ближайшем к вам DNS-сервере содержится запись, отправляющая вас по неверному адресу, который, как правило, контролируется злоумышленником. Существует ряд методов, которые используют злоумышленники для отравления кэша DNS.

Перехват трафика локальной сети с помощью подмены протокола ARP

Вы удивитесь, насколько уязвимой может быть локальная сеть. Многие администраторы могут пребывать в уверенности, что перекрыли все возможные доступы, но, как известно, дьявол кроется в деталях.

Одна из распространенных проблем — сотрудники, работающие удаленно. Можно ли быть уверенными, что их сеть Wi-Fi защищена? Хакеры могут взломать слабый пароль от сети Wi-Fi за считанные часы.

Эксплойт Каминского

Как обнаружить отравление кэша DNS?

Способы защиты от отравления кэша DNS

И, наконец, используйте зашифрованные DNS-запросы. Модули безопасности службы доменных имен (DNSSEC) — это протокол DNS, который использует подписанные DNS-запросы для предотвращения их подмены. При использовании DNSSEC, DNS-резолверу необходимо проверить подпись на уполномоченном DNS-сервере, что замедляет весь процесс. Вследствие этого DNSSEC пока не получил широкого распространения.

Подмена DNS заменяет легитимный IP-адрес сайта на IP-адрес компьютера хакера. Обнаружить подмену очень непросто, ведь с точки зрения конечного пользователя он вводит в браузере абсолютно нормальный адрес сайта. Несмотря на это остановить подобную атаку можно. Риски снизить можно, используя мониторинг DNS, например, от Varonis, а также стандарт шифрования DNS поверх TLS (DoT).

Отравление кэша: часто задаваемые вопросы

Ознакомьтесь с распространенными вопросами о подмене DNS и ответами на них.

Отравление кэша DNS и подмена кэша DNS (спуфинг) — это одно и то же?

Да, отравлением кэша и подменой кэша называют один и тот же тип кибератаки.

Как работает отравление кэша DNS?

Отравление кэша обманывает ваш DNS-сервер, сохраняя на нём поддельную запись DNS. После этого трафик перенаправляется на сервер, выбранный хакером, и там осуществляется кража данных.

Какие меры безопасности можно применять для защиты от отравления кэша DNS?

Как проверить, подверглись ли вы атаке с отравлением кэша?

После того как кэш DNS был отравлен, это сложно обнаружить. Куда лучшая тактика — осуществлять мониторинг ваших данных и защищать систему от вредоносных программ, чтобы уберечься от утечек данных в следствие отравления кэша DNS. Посетите нашу интерактивную лабораторию кибератак, чтобы увидеть, как мы используем мониторинг DNS для обнаружения реальных угроз кибербезопасности.

Как работает связь DNS?

Как злоумышленники отравляют кэш DNS?

Способов отравления кэша много, и вот самые распространенные из них: принудить жертву нажать на вредоносную ссылку, использующую встроенный код для изменения кэша DNS в браузере пользователя; взлом локального DNS-сервера с помощью «атаки через посредника». Вышеупомянутая «атака через посредника» использует подмену протокола разрешения адресов (ARP) для перенаправления DNS-запросов на DNS-сервер, контролируемый злоумышленником.

Что такое отравление кэша DNS?

Отравление кэша DNS — это действия по замене записи в базе данных DNS на IP-адрес, ведущий на вредоносный сервер, контролируемый злоумышленником.

Как выполняется подмена DNS?

Хакер выполняет атаку с подменой DNS, получая доступ и изменяя кэш DNS или перенаправляя запросы DNS на свой собственный DNS-сервер.

DNS воронка , также известная как сливной сервер , интернет - выгребная яма , или Blackhole DNS [1] является DNS - сервером , который выдает ложный результат для доменного имени .

Содержание

Когда компьютер посещает источник DNS для разрешения доменного имени, провайдер, если возможно, даст результат, а если нет, он отправит систему разрешения провайдеру более высокого уровня, чтобы он попытался снова. Чем выше в этой цепочке находится DNS Sinkhole, тем больше запросов он получит, тем более положительный эффект он даст.

Воронка - это стандартный DNS-сервер, настроенный для выдачи немаршрутизируемых адресов для всех доменов в воронке, так что каждый компьютер, который его использует, не сможет получить доступ к реальному сайту. [2] Чем выше по цепочке разрешения DNS находится воронка, тем больше запросов она будет блокировать, поскольку будет предоставлять ответы большему количеству серверов NS с более низким уровнем, которые, в свою очередь, будут обслуживать большее количество клиентов. Некоторые из более крупных ботнетов стали непригодными для использования из-за провалов TLD , охватывающих весь Интернет. [3] Воронки DNS эффективны при обнаружении и блокировании вредоносного трафика, а также используются для борьбы с ботами и другим нежелательным трафиком.

Воронки могут использоваться как конструктивно, как это было сделано для сдерживания угроз WannaCry и Avalanche [4], так и деструктивно, например, нарушая службы DNS в результате DoS- атаки.

Одно из применений - остановить ботнеты , прерывая DNS-имена, которые ботнет запрограммирован на использование для координации. Чаще всего воронку на основе файлов хостов используют для блокировки сайтов показа рекламы . [5] Показ рекламы также можно заблокировать (например, с помощью Pi-hole ) с помощью локального DNS-сервера на вашем компьютере или в вашей локальной сети, эффективно блокируя рекламу для всех устройств в сети. [6]

Синкхолинг — это основной метод, благодаря которому удаётся проникнуть «внутрь» ботнета и изучить его. Метод основан на регистрации собственного домена по алгоритму, который описан в коде трояна (бота) — и подождать, когда боты сами начнут подключаться к новому управляющему серверу. Этот C&C-сервер уже принадлежит не злоумышленникам, а исследователям из антивирусной компании.

Именно такой эксперимент провели специалисты из компании Damballa. Они опубликовали краткий отчёт о результатах своего исследования.

Специалисты Damballa исследовали один из новых ботнетов, который использует алгоритм генерации доменов (domain generation algorithms, DGA) для установки новых C&C-серверов. К сожалению, они не называют название ботнета, может быть, просто не посчитали нужным давать ему название.

После регистрации нескольких доменов трафик перенаправили на точку синкхолинга Georgia Tech Information Security Center (GTISC). Исследование продолжалось несколько недель.

К своему удивлению, специалисты обнаружили, что огромное количество ботов пытаются подключиться к их доменам. Речь идёт о десятках тысяч C&C-запросов. Исследователи делают вывод, что им попался чрезвычайно крупный ботнет, который может состоять из сотен тысяч машин. Информацию уже передали правоохранительным органам, а в ближайшее время будут опубликованы полные результаты исследования. Сейчас авторы работы поделились некоторыми наблюдениями.

1. Почти все существующие технологии антивирусной защиты полностью слепы на уровне DNS, то есть не идентифицируют никакого вредоносного трафика в DNS-запросах.

2. Когда исследователи покупали домен, некоторые системы безопасности всё-таки проснулись, потому что IP-адрес GTISC очень хорошо известен в сообществе специалистов по безопасности и внесён во многие чёрные списки. Поэтому многие операторы начали сканировать сервер на предмет вредоносного ПО.

3. Поскольку многие инфицированные компьютеры смогли установить соединение с IP-адресом из чёрного списка, исследователи смогли сделать вывод, в каких организациях и у каких провайдеров установлены соответствующие системы защиты и как быстро они реагируют.

Читайте также: