Відмінності між версіями «6 Атаки на ДНС»
Donserg (Обговорення • внесок) м (Захист на 6 Атаки на ДНС встановлено ([edit=sysop] (безстроково) [move=sysop] (безстроково))) |
Версія за 23:55, 20 вересня 2012
Атаки ДНС
Існує безліч DNS-рішень: BIND, Microsoft DNS Server, Open DNS та інші. Всі вони потребують захисту. Адже, якщо хакер атакує DNS-сервер, то користувачі будуть потрапляти в пастку, навіть не підозрюючи про це.
Чим небезпечні DNS-атаки
По-перше, в результаті DNS-атак користувач ризикує не потрапити на потрібнусторінку. По-друге, в результаті переходу користувача на помилковий IP-адреса хакерможе отримати доступ до його особистої інформації.
Види атак
Основною причиною такої схильності DNS-систем загрозам є те, що вони працюють по протоколу UDP, більш уразливому, ніж TCP. Існує кілька способів атаки на DNS. Перший тип - це створення обманного DNS-сервера внаслідок перехоплення запиту. Механізм даної атаки дуже простий. Хакер - атакуючий, чекає DNS-запиту від комп'ютера жертви. Після того як атакуючий отримав запит, він витягує з перехопленого пакета IP-адреса запитаного хоста. Потім генерується пакет, в якому зловмисник представляється цільовим DNS-сервером. Сама генерація відповідного пакета так само проста: хакер в хибному відповіді жертві в поле IP DNS-сервера прописує свій IP. Тепер комп'ютер жертви приймає атакуючого за реальний DNS. Коли клієнт відправляє черговий пакет, атакуючий змінює в ньому IP-адреса відправника і пересилає далі на DNS. У результаті справжній DNS-сервер вважає, що запити відправляє хакер, а не жертва. Таким чином, атакуючий стає посередником між клієнтом і реальним DNS-сервером. Далі хакер може виправляти запити жертви на свій розсуд і відправляти їх на реальний DNS. Але перехопити запит можна, тільки якщо атакуюча машина знаходиться на шляху основного трафіку або в сегменті DNS-сервера.
Другий спосіб атаки застосовується віддалено, якщо немає доступу до трафікуклієнта. Для генерації помилкового відповіді необхідне виконання декількох пунктів. По-перше, збіг IP-адреси відправника відповіді з адресоюDNS-сервера. Потім, збіг імен, що містяться в DNS-відповіді і запиті. Крім того, DNS-відповідь повинна надсилатися на той же порт, з якого був відправленийзапит. Ну і, нарешті, в пакеті DNS-відповіді поле ID має збігатися з ID в запиті
Третій метод спрямований на атаку безпосередньо DNS-сервера. В результаті такої атаки за неправдивими IP-адресами буде ходити не окремий клієнт-жертва, а всі користувачі, які звернулися до атакованому DNS. Як і в попередньому випадку, атака може проводитися з будь-якої точки мережі. При відправці клієнтом запиту на DNS-сервер, останній починає шукати у своєму кеші подібний запит. Якщо до жертви такий запит ніхто не посилав, і він не був занесений в кеш, сервер починає посилати запити на інші DNS-сервера мережі в пошуках IP-адреси, що відповідає запрошенням хосту.
Для атаки хакер посилає запит, який змушує сервер звертатися до інших вузлів мережі і чекати від них відповіді. Відправивши запит, зловмисник починає атакувати DNS потоком помилкових відповідних пакетів. Нагадує ситуацію з попереднього методу, але хакеру не треба підбирати порт, так як всі сервера DNS "спілкуються" по виділеному 53 порту. Залишається тільки підібрати ID.Коли сервер отримає помилковий відповідь пакет з відповідним ID, він почне сприймати хакера як DNS і дасть клієнтові IP-адреса, посланий атакуючим комп'ютером. Далі запит буде занесений в кеш, і при подальших подібних запитах користувачі будуть переходити на підставний IP.
Захист від атак
Для забезпечення безпеки DNS планується розгортання Domain Name System Security Extensions (DNSSEC).