6 Атаки на ДНС

Основною причиною такої схильності DNS-систем загрозам є те, що вони працюють по протоколу UDP, більш уразливому, ніж TCP.Існує кілька способів атаки на DNS. Перший тип - це створення обманного DNS-сервера внаслідок перехоплення запиту. Механізм даної атаки дуже простий. Хакер - атакуючий, чекає DNS-запиту від комп'ютера жертви. Після того як атакуючий отримав запит, він витягує з перехопленого пакета IP-адреса запитаного хоста. Потім генерується пакет, в якому зловмисник представляється цільовим DNS-сервером. Сама генерація відповідь пакету так само проста: хакер в неправдивому відповіді жертві в полі IP DNS-сервера прописує свій IP. Тепер комп'ютер жертви приймає атакуючого за реальний DNS. Коли клієнт відправляє черговий пакет, атакуючий змінює в ньому IP-адреса відправника і пересилає далі на DNS. У результаті справжній DNS-сервер вважає, що запити відправляє хакер, а не жертва. Таким чином, атакуючий стає посередником між клієнтом і реальним DNS-сервером. Далі хакер може виправляти запити жертви на свій розсуд і відправляти їх на реальний DNS. Але перехопити запит можна, тільки якщо атакуюча машина знаходиться на шляху основного трафіку або в сегменті DNS-сервера.Другий спосіб атаки застосовується віддалено, якщо немає доступу до трафіку клієнта. Для генерації помилкового відповіді необхідно виконання кількох пунктів. По-перше, збіг IP-адреси відправника відповіді з адресою DNS-сервера. Потім, збіг імен, що містяться в DNS-відповіді і запиті. Крім того, DNS-відповідь повинна надсилатися на той же порт, з якого був відправлений запит. Ну і, нарешті, в пакеті DNS-відповіді полі ID повинно збігатися з ID в запиті.Перші дві умови реалізуються просто. А ось третій і четвертий пункт - складніше. Обидві завдання вирішуються підшукуванням потрібний порту та ID методом перебору. Таким чином, у хакера є все необхідне, щоб атакувати жертву. Механізм цієї атаки полягає в наступному. Жертва посилає на DNS-сервер запит і переходить в режим очікування відповіді з сервера. Хакер, перехопивши запит, починає посилати неправдиві відповідь пакети. У результаті на комп'ютер клієнта приходить шквал помилкових відповідей, з яких відсіваються всі, крім одного, в якому збіглися ID і порт. Отримавши потрібну відповідь, клієнт починає сприймати підставний DNS-сервер як справжній. Хакер ж, у свою чергу, в неправдивому DNS відповіді може поставити IP-адресу будь-якого ресурсу.Третій метод спрямований на атаку безпосередньо DNS-сервера. У результаті такої атаки за помилковими IP-адресами буде ходити не окремий клієнт-жертва, а всі користувачі, які звернулися до атакованому DNS. Як і в попередньому випадку, атака може проводитися з будь-якої точки мережі. При відправці клієнтом запиту на DNS-сервер, останній починає шукати у своєму кеші подібний запит. Якщо до жертви такий запит ніхто не посилав, і він не був занесений в кеш, сервер починає посилати запити на інші DNS-сервера мережі в пошуках IP-адреси, відповідного запрошенням хосту.Для атаки хакер посилає запит, який змушує сервер звертатися до інших вузлів мережі і чекати від них відповіді. Відправивши запит, зловмисник починає атакувати DNS потоком помилкових дій у відповідь пакетів. Нагадує ситуацію з попереднього методу, але хакеру не треба підбирати порт, так як всі сервера DNS "спілкуються" по виділеному 53 порту. Залишається тільки підібрати ID. Коли сервер отримає помилковий відповідь пакет з відповідним ID, він почне сприймати хакера як DNS і дасть клієнту IP-адреса, посланий атакуючим комп'ютером. Далі запит буде занесений в кеш, і при подальших подібних запитах користувачі будуть переходити на підставний IP.