6 Атаки на ДНС

Матеріал з Wiki TNEU
Перейти до: навігація, пошук


Атаки ДНС

   Існує безліч DNS-рішень: BIND, Microsoft DNS Server, Open DNS та інші. Всі вони потребують захисту. Адже, якщо хакер атакує DNS-сервер, то користувачі будуть потрапляти в пастку, навіть не підозрюючи про це.

Чим небезпечні DNS-атаки

   По-перше, в результаті DNS-атак користувач ризикує не потрапити на потрібнусторінку.
   По-друге, в результаті переходу користувача на помилковий IP-адреса хакерможе отримати доступ до його особистої інформації.

Види атак

Основною причиною такої схильності DNS-систем загрозам є те, що вони працюють по протоколу UDP, більш уразливому, ніж TCP. Існує кілька способів атаки на DNS. Перший тип - це створення обманного DNS-сервера внаслідок перехоплення запиту. Механізм даної атаки дуже простий. Хакер - атакуючий, чекає DNS-запиту від комп'ютера жертви. Після того як атакуючий отримав запит, він витягує з перехопленого пакета IP-адреса запитаного хоста. Потім генерується пакет, в якому зловмисник представляється цільовим DNS-сервером. Сама генерація відповідного пакета так само проста: хакер в хибному відповіді жертві в поле IP DNS-сервера прописує свій IP. Тепер комп'ютер жертви приймає атакуючого за реальний DNS. Коли клієнт відправляє черговий пакет, атакуючий змінює в ньому IP-адреса відправника і пересилає далі на DNS. У результаті справжній DNS-сервер вважає, що запити відправляє хакер, а не жертва. Таким чином, атакуючий стає посередником між клієнтом і реальним DNS-сервером. Далі хакер може виправляти запити жертви на свій розсуд і відправляти їх на реальний DNS. Але перехопити запит можна, тільки якщо атакуюча машина знаходиться на шляху основного трафіку або в сегменті DNS-сервера.

     Другий спосіб атаки застосовується віддалено, якщо немає доступу до трафікуклієнта. Для генерації помилкового відповіді необхідне виконання декількох пунктів. По-перше, збіг IP-адреси відправника відповіді з адресоюDNS-сервера. Потім, збіг імен, що містяться в DNS-відповіді і запиті. Крім того, DNS-відповідь повинна надсилатися на той же порт, з якого був відправленийзапит. Ну і, нарешті, в пакеті DNS-відповіді поле ID має збігатися з ID в запиті

Третій метод спрямований на атаку безпосередньо DNS-сервера. В результаті такої атаки за неправдивими IP-адресами буде ходити не окремий клієнт-жертва, а всі користувачі, які звернулися до атакованому DNS. Як і в попередньому випадку, атака може проводитися з будь-якої точки мережі. При відправці клієнтом запиту на DNS-сервер, останній починає шукати у своєму кеші подібний запит. Якщо до жертви такий запит ніхто не посилав, і він не був занесений в кеш, сервер починає посилати запити на інші DNS-сервера мережі в пошуках IP-адреси, що відповідає запрошенням хосту.

    Для атаки хакер посилає запит, який змушує сервер звертатися до інших вузлів мережі і чекати від них відповіді. Відправивши запит, зловмисник починає атакувати DNS потоком помилкових відповідних пакетів. Нагадує ситуацію з попереднього методу, але хакеру не треба підбирати порт, так як всі сервера DNS "спілкуються" по виділеному 53 порту. Залишається тільки підібрати ID.Коли сервер отримає помилковий відповідь пакет з відповідним ID, він почне сприймати хакера як DNS і дасть клієнтові IP-адреса, посланий атакуючим комп'ютером. Далі запит буде занесений в кеш, і при подальших подібних запитах користувачі будуть переходити на підставний IP.


Захист від атак

Для забезпечення безпеки DNS планується розгортання Domain Name System Security Extensions (DNSSEC).

Особисті інструменти
Простори назв

Варіанти
Дії
Навігація
Інструменти