Відмінності між версіями «6 Атаки на ДНС»

Матеріал з Wiki TNEU
Перейти до: навігація, пошук
м (Захист на 6 Атаки на ДНС встановлено (‎[edit=sysop] (безстроково) ‎[move=sysop] (безстроково)))
 
Рядок 1: Рядок 1:
Атаки ДНС
+
Основною причиною такої схильності DNS-систем загрозам є те, що вони працюють по протоколу UDP, більш уразливому, ніж TCP.Існує кілька способів атаки на DNS. Перший тип - це створення обманного DNS-сервера внаслідок перехоплення запиту. Механізм даної атаки дуже простий. Хакер - атакуючий, чекає DNS-запиту від комп'ютера жертви. Після того як атакуючий отримав запит, він витягує з перехопленого пакета IP-адреса запитаного хоста. Потім генерується пакет, в якому зловмисник представляється цільовим DNS-сервером. Сама генерація відповідь пакету так само проста: хакер в неправдивому відповіді жертві в полі IP DNS-сервера прописує свій IP. Тепер комп'ютер жертви приймає атакуючого за реальний DNS. Коли клієнт відправляє черговий пакет, атакуючий змінює в ньому IP-адреса відправника і пересилає далі на DNS. У результаті справжній DNS-сервер вважає, що запити відправляє хакер, а не жертва. Таким чином, атакуючий стає посередником між клієнтом і реальним DNS-сервером. Далі хакер може виправляти запити жертви на свій розсуд і відправляти їх на реальний DNS. Але перехопити запит можна, тільки якщо атакуюча машина знаходиться на шляху основного трафіку або в сегменті DNS-сервера.Другий спосіб атаки застосовується віддалено, якщо немає доступу до трафіку клієнта. Для генерації помилкового відповіді необхідно виконання кількох пунктів. По-перше, збіг IP-адреси відправника відповіді з адресою DNS-сервера. Потім, збіг імен, що містяться в DNS-відповіді і запиті. Крім того, DNS-відповідь повинна надсилатися на той же порт, з якого був відправлений запит. Ну і, нарешті, в пакеті DNS-відповіді полі ID повинно збігатися з ID в запиті.Перші дві умови реалізуються просто. А ось третій і четвертий пункт - складніше. Обидві завдання вирішуються підшукуванням потрібний порту та ID методом перебору. Таким чином, у хакера є все необхідне, щоб атакувати жертву. Механізм цієї атаки полягає в наступному. Жертва посилає на DNS-сервер запит і переходить в режим очікування відповіді з сервера. Хакер, перехопивши запит, починає посилати неправдиві відповідь пакети. У результаті на комп'ютер клієнта приходить шквал помилкових відповідей, з яких відсіваються всі, крім одного, в якому збіглися ID і порт. Отримавши потрібну відповідь, клієнт починає сприймати підставний DNS-сервер як справжній. Хакер ж, у свою чергу, в неправдивому DNS відповіді може поставити IP-адресу будь-якого ресурсу.Третій метод спрямований на атаку безпосередньо DNS-сервера. У результаті такої атаки за помилковими IP-адресами буде ходити не окремий клієнт-жертва, а всі користувачі, які звернулися до атакованому DNS. Як і в попередньому випадку, атака може проводитися з будь-якої точки мережі. При відправці клієнтом запиту на DNS-сервер, останній починає шукати у своєму кеші подібний запит. Якщо до жертви такий запит ніхто не посилав, і він не був занесений в кеш, сервер починає посилати запити на інші DNS-сервера мережі в пошуках IP-адреси, відповідного запрошенням хосту.Для атаки хакер посилає запит, який змушує сервер звертатися до інших вузлів мережі і чекати від них відповіді. Відправивши запит, зловмисник починає атакувати DNS потоком помилкових дій у відповідь пакетів. Нагадує ситуацію з попереднього методу, але хакеру не треба підбирати порт, так як всі сервера DNS "спілкуються" по виділеному 53 порту. Залишається тільки підібрати ID. Коли сервер отримає помилковий відповідь пакет з відповідним ID, він почне сприймати хакера як DNS і дасть клієнту IP-адреса, посланий атакуючим комп'ютером. Далі запит буде занесений в кеш, і при подальших подібних запитах користувачі будуть переходити на підставний IP.
 
+
  <nowiki>Існує безліч DNS-рішень: BIND, Microsoft DNS Server, Open DNS та інші. Всі вони потребують захисту. Адже, якщо хакер атакує DNS-сервер, то користувачі будуть потрапляти в пастку, навіть не підозрюючи про це.
+
</nowiki>
+
Чим небезпечні DNS-атаки
+
    По-перше, в результаті DNS-атак користувач ризикує не потрапити на потрібнусторінку.
+
    По-друге, в результаті переходу користувача на помилковий IP-адреса хакерможе отримати доступ до його особистої інформації.
+
 
+
Види атак
+
 
+
Основною причиною такої схильності DNS-систем загрозам є те, що вони працюють по протоколу UDP, більш уразливому, ніж TCP.
+
Існує кілька способів атаки на DNS.  
+
Перший тип - це створення обманного DNS-сервера внаслідок перехоплення запиту. Механізм даної атаки дуже простий. Хакер - атакуючий, чекає DNS-запиту від комп'ютера жертви. Після того як атакуючий отримав запит, він витягує з перехопленого пакета IP-адреса запитаного хоста. Потім генерується пакет, в якому зловмисник представляється цільовим DNS-сервером. Сама генерація відповідного пакета так само проста: хакер в хибному відповіді жертві в поле IP DNS-сервера прописує свій IP. Тепер комп'ютер жертви приймає атакуючого за реальний DNS. Коли клієнт відправляє черговий пакет, атакуючий змінює в ньому IP-адреса відправника і пересилає далі на DNS. У результаті справжній DNS-сервер вважає, що запити відправляє хакер, а не жертва. Таким чином, атакуючий стає посередником між клієнтом і реальним DNS-сервером. Далі хакер може виправляти запити жертви на свій розсуд і відправляти їх на реальний DNS. Але перехопити запит можна, тільки якщо атакуюча машина знаходиться на шляху основного трафіку або в сегменті DNS-сервера.
+
      Другий спосіб атаки застосовується віддалено, якщо немає доступу до трафікуклієнта. Для генерації помилкового відповіді необхідне виконання декількох пунктів. По-перше, збіг IP-адреси відправника відповіді з адресоюDNS-сервера. Потім, збіг імен, що містяться в DNS-відповіді і запиті. Крім того, DNS-відповідь повинна надсилатися на той же порт, з якого був відправленийзапит. Ну і, нарешті, в пакеті DNS-відповіді поле ID має збігатися з ID в запиті
+
Третій метод спрямований на атаку безпосередньо DNS-сервера. В результаті такої атаки за неправдивими IP-адресами буде ходити не окремий клієнт-жертва, а всі користувачі, які звернулися до атакованому DNS. Як і в попередньому випадку, атака може проводитися з будь-якої точки мережі. При відправці клієнтом запиту на DNS-сервер, останній починає шукати у своєму кеші подібний запит. Якщо до жертви такий запит ніхто не посилав, і він не був занесений в кеш, сервер починає посилати запити на інші DNS-сервера мережі в пошуках IP-адреси, що відповідає запрошенням хосту.
+
    Для атаки хакер посилає запит, який змушує сервер звертатися до інших вузлів мережі і чекати від них відповіді. Відправивши запит, зловмисник починає атакувати DNS потоком помилкових відповідних пакетів. Нагадує ситуацію з попереднього методу, але хакеру не треба підбирати порт, так як всі сервера DNS "спілкуються" по виділеному 53 порту. Залишається тільки підібрати ID.Коли сервер отримає помилковий відповідь пакет з відповідним ID, він почне сприймати хакера як DNS і дасть клієнтові IP-адреса, посланий атакуючим комп'ютером. Далі запит буде занесений в кеш, і при подальших подібних запитах користувачі будуть переходити на підставний IP.
+
 
+
 
+
Захист від атак
+
 
+
Для забезпечення безпеки DNS планується розгортання [[Domain Name System Security Extensions (DNSSEC)]].
+

Поточна версія на 23:11, 26 червня 2013

Основною причиною такої схильності DNS-систем загрозам є те, що вони працюють по протоколу UDP, більш уразливому, ніж TCP.Існує кілька способів атаки на DNS. Перший тип - це створення обманного DNS-сервера внаслідок перехоплення запиту. Механізм даної атаки дуже простий. Хакер - атакуючий, чекає DNS-запиту від комп'ютера жертви. Після того як атакуючий отримав запит, він витягує з перехопленого пакета IP-адреса запитаного хоста. Потім генерується пакет, в якому зловмисник представляється цільовим DNS-сервером. Сама генерація відповідь пакету так само проста: хакер в неправдивому відповіді жертві в полі IP DNS-сервера прописує свій IP. Тепер комп'ютер жертви приймає атакуючого за реальний DNS. Коли клієнт відправляє черговий пакет, атакуючий змінює в ньому IP-адреса відправника і пересилає далі на DNS. У результаті справжній DNS-сервер вважає, що запити відправляє хакер, а не жертва. Таким чином, атакуючий стає посередником між клієнтом і реальним DNS-сервером. Далі хакер може виправляти запити жертви на свій розсуд і відправляти їх на реальний DNS. Але перехопити запит можна, тільки якщо атакуюча машина знаходиться на шляху основного трафіку або в сегменті DNS-сервера.Другий спосіб атаки застосовується віддалено, якщо немає доступу до трафіку клієнта. Для генерації помилкового відповіді необхідно виконання кількох пунктів. По-перше, збіг IP-адреси відправника відповіді з адресою DNS-сервера. Потім, збіг імен, що містяться в DNS-відповіді і запиті. Крім того, DNS-відповідь повинна надсилатися на той же порт, з якого був відправлений запит. Ну і, нарешті, в пакеті DNS-відповіді полі ID повинно збігатися з ID в запиті.Перші дві умови реалізуються просто. А ось третій і четвертий пункт - складніше. Обидві завдання вирішуються підшукуванням потрібний порту та ID методом перебору. Таким чином, у хакера є все необхідне, щоб атакувати жертву. Механізм цієї атаки полягає в наступному. Жертва посилає на DNS-сервер запит і переходить в режим очікування відповіді з сервера. Хакер, перехопивши запит, починає посилати неправдиві відповідь пакети. У результаті на комп'ютер клієнта приходить шквал помилкових відповідей, з яких відсіваються всі, крім одного, в якому збіглися ID і порт. Отримавши потрібну відповідь, клієнт починає сприймати підставний DNS-сервер як справжній. Хакер ж, у свою чергу, в неправдивому DNS відповіді може поставити IP-адресу будь-якого ресурсу.Третій метод спрямований на атаку безпосередньо DNS-сервера. У результаті такої атаки за помилковими IP-адресами буде ходити не окремий клієнт-жертва, а всі користувачі, які звернулися до атакованому DNS. Як і в попередньому випадку, атака може проводитися з будь-якої точки мережі. При відправці клієнтом запиту на DNS-сервер, останній починає шукати у своєму кеші подібний запит. Якщо до жертви такий запит ніхто не посилав, і він не був занесений в кеш, сервер починає посилати запити на інші DNS-сервера мережі в пошуках IP-адреси, відповідного запрошенням хосту.Для атаки хакер посилає запит, який змушує сервер звертатися до інших вузлів мережі і чекати від них відповіді. Відправивши запит, зловмисник починає атакувати DNS потоком помилкових дій у відповідь пакетів. Нагадує ситуацію з попереднього методу, але хакеру не треба підбирати порт, так як всі сервера DNS "спілкуються" по виділеному 53 порту. Залишається тільки підібрати ID. Коли сервер отримає помилковий відповідь пакет з відповідним ID, він почне сприймати хакера як DNS і дасть клієнту IP-адреса, посланий атакуючим комп'ютером. Далі запит буде занесений в кеш, і при подальших подібних запитах користувачі будуть переходити на підставний IP.

Особисті інструменти
Простори назв

Варіанти
Дії
Навігація
Інструменти