ѕодпишитесь на наш Telegram-канал Ѕудьте в курсе последних новостей 👇 😉 ѕодписатьс€
ѕоддержим в трудное врем€ —пециальное предложение на техническую поддержку вашей »“ - инфраструктуры силами наших экспертов ѕодобрать тариф
ѕоставка оборудовани€ √аранти€ и помощь с настройкой. —кидка дл€ наших читателей по промокоду WIKIMERIONET  упить
»нтерфейс статистики Merion Mertics показывает ключевые диаграммы и графики по звонкам, а также историю звонков в формате, который легко поймет менеджер ѕопробовать бесплатно
¬недрение
офисной телефонии
Ўаг на пути к созданию доступных унифицированных коммуникаций в вашей компании ¬недрить
»нтеграци€ с CRM ѕомогаем навести пор€док с данными
и хранить их в единой экосистеме
ѕодключить
»“ Ѕезопастность ”мна€ информационна€ безопасность дл€ вашего бизнеса «аказать
ћерион Ќетворкс

8 минут чтени€

DNS спуфинг (spoofing), так же известный как отравление DNS кэша (cache poisoning), вид атаки, когда DNS кэш заполн€етс€ поддельными данными, в результате чего пользователь перенаправл€етс€ на вредоносный сайт.

DNS —пуфинг

ќтравление DNS-кэша €вл€етс€ результатом у€звимостей, которые позвол€ют преступникам отправл€ть поддельные DNS-ответы, которые серверы доменных имен (DNS - Domain Name Server) сохран€ют в своих кэшах.

ќбычно скомпрометированна€ запись перенаправл€ет пользовател€ на поддельный веб-сайт, который злоумышленники используют дл€ совершени€ преступных действий, таких как распространение вредоносных программ или кража реквизитов кредитных карт, паролей, финансовых данных или другой конфиденциальной и частной информации.

ѕри отравлении DNS-кэша сервер кэша DNS сохран€ет нелегитимный адрес, предоставленный злоумышленником, а затем выдает его пользовател€м, запрашивающим подлинный веб-сайт. ¬ большинстве случаев он может выгл€деть аналогично аутентичному веб-сайту, поэтому посетител€м становитс€ сложнее отличить поддельный сайт от насто€щего.


¬ли€ние отравлени€ DNS-кэша

DNS спуфинг, обычно трудно обнаружить и может оказать большое негативное вли€ние, особенно дл€ попул€рных веб-сайтов или веб-приложений со большим количеством посещений или зарегистрированными пользовател€ми. Ёто представл€ет большой риск, особенно в некоторых чувствительных отрасл€х, таких как банковска€, медицинска€, онлайн-ритейл, электронна€ коммерци€ и другие.

Ќапример, предполагаетс€, что злоумышленникам удаетс€ изменить DNS-записи и IP-адреса дл€ Amazon. «атем они направл€ют запрос на другой сервер с поддельным IP, который контролируют или принадлежит злоумышленникам. Ћюбой человек, пытающийс€ получить доступ к подлинному сайту Amazon, будет перенаправлен на неправильный адрес, который может содержать вредоносные программы дл€ кражи конфиденциальной информации.

—хема DNS спуфинга

 роме веб-сайтов, злоумышленник может вставить поддельный адрес дл€ сервера электронной почты или других веб-приложений, таких как банковские приложени€.

ѕоскольку изменени€ в DNS регул€рно распростран€ютс€ с одного сервера на другой, отравленный кэш может распростран€тьс€ на другие DNS-серверы и системы, что приводит к большому ущербу. Ќапример, поддельна€ запись может быстро распростран€тьс€ на другие машины, такие как DNS-серверы »нтернет-провайдеров, которые затем будут хранить ее в своем кэше. ќтсюда он распростран€етс€ дальше на оборудовани€ пользователей, такое как браузеры, мобильные телефоны и маршрутизаторы, которые также будут хранить поддельную запись в своих кэшах.


 ак работает атака отравление DNS-кэша?

ѕреступники могут отравить кэш DNS с помощью различных методик.

¬о врем€ обычных операций DNS-запросы хран€тс€ или кэшируютс€ в базе данных, которую пользователи веб-сайтов могут запрашивать в режиме реального времени.  ак правило, база данных DNS содержит список имен »нтернета и соответствующих IP-адресов. » это облегчает поиск и доступ к веб-сайтам с использованием имен в отличие от IP-адресов, что может быть очень сложным и запутанным.

Ќапример, без системы DNS пользовател€м потребуетс€ запомнить строку чисел, составл€ющих IP-адреса дл€ всех веб-сайтов, которые они хот€т посетить.

  сожалению, DNS имеет несколько недостатков в безопасности, которые злоумышленники могут использовать и вставл€ть в систему поддельные записи адресов интернет-домена. ќбычно преступники отправл€ют на DNS-сервер поддельные ответы. «атем сервер отвечает пользователю, сделавшему запрос, и одновременно законные серверы кэшируют поддельную запись.  ак только сервер кэша DNS сохранит поддельную запись, все последующие запросы на скомпрометированную запись получат адрес сервера, управл€емого злоумышленником.

ќтравление DNS-кэша в целом состоит из внедрени€ поврежденных записей в базу данных кэша сервера имен, и злоумышленники используют различные методы.   ним относ€тс€:

  •  огда пользователь веб-сайта или веб-приложени€ отправл€ет запрос на определенный домен через браузер или онлайн-приложение, DNS-сервер сначала провер€ет, существует ли запись в кэше. ≈сли он не сохранен, он запросит информацию у авторитетных DNS-серверов, а затем ждет ответа. ¬ течение некоторого времени злоумышленники будут использовать этот узкий период ожидани€, временно брать на себ€ роль исходного DNS и выдавать поддельный ответ до того, как авторитетный сервер отправит подлинный адрес. ќднако, поскольку период ожидани€ обычно очень короткий, показатель успеха очень низкий.
  • ƒругой способ включает отправку поддельных ответов от DNS-сервера, олицетвор€ющего легитимный. ѕоскольку проверка DNS обычно не выполн€етс€, злоумышленники могут подделать ответ от DNS-распознавател€ по мере запроса сервера имен. Ёто также становитс€ возможным благодар€ тому, что DNS-серверы используют протокол пользовательских датаграмм (UDP) вместо TCP. ќбычно св€зь DNS небезопасна из-за незашифрованной информации в пакетах UDP и отсутстви€ аутентификации. Ёто облегчает злоумышленникам вставл€ть в ответы поддельные адреса.

”€звимости DNS используемые злоумышленниками

”€звимости безопасности в определенных веб-приложени€х, а также отсутствие надлежащей аутентификации DNS-записей позвол€ют киберпреступникам легко скомпрометировать ответы DNS и остатьс€ незамеченными. Ќекоторые из этих у€звимостей включают в себ€:

ќтсутствие проверки и валидации

DNS имеет первую структуру довери€, котора€ не требует проверки IP-адреса дл€ подтверждени€ его подлинности перед отправкой ответа. ѕоскольку DNS-распознаватели не провер€ют данные в кэше, там остаетс€ неверна€ запись, пока она не будет удалена вручную или не истечет срок действи€ TTL.

”€звимость рекурсивного DNS-сервера

 огда рекурсивный запрос активен, DNS-сервер получает запрос и выполн€ет всю работу по поиску правильного адреса и отправке ответа пользователю. ≈сли у него нет записи в кэше, он будет запрашивать ее у других DNS-серверов от имени клиента, пока не получит адрес и не вернет его пользователю. ¬ключение рекурсивного запроса представл€ет у€звимость безопасности, которую злоумышленники могут использовать дл€ отравлени€ кэша DNS.

”€звимость рекурсивного DNS-сервера<

ѕоскольку сервер ищет адрес, он предоставл€ет злоумышленнику возможность перехватить трафик и предоставить поддельный ответ. «атем рекурсивный DNS-сервер отправит ответ пользователю и одновременном сохранит поддельный IP-адрес в кэше.

ќтсутствие шифровани€

 ак правило, протокол DNS не зашифрован, и это облегчает злоумышленникам перехват его трафика.  роме того, серверы не должны провер€ть IP-адреса, на которые они направл€ют трафик, следовательно, они не могут определить, €вл€етс€ ли он подлинным или поддельным.


 ак предотвратить DNS спуфинг?

ћониторинг данных DNS в реальном времени может помочь установить наличие в трафике необычных шаблонов, действий пользователей или поведени€, таких как посещение вредоносных веб-сайтов. » хот€ обнаружение отравлени€ DNS-кэшем затруднено, существует несколько мер безопасности, и компании и поставщики услуг могут прин€ть меры, чтобы предотвратить это. Ќекоторые из мер, предотвращающих отравление DNS-кэша, включают использование DNSSEC, отключение рекурсивных запросов и многое другое.

ѕредельный уровень отношений довери€

ќдной из у€звимостей DNS-транзакций €вл€ютс€ отношени€ высокого довери€ между различными DNS-серверами. Ёто означает, что серверы не провер€ют подлинность получаемых ими записей, что позвол€ет злоумышленникам даже отправл€ть поддельные ответы со своих нелегитимных серверов.

„тобы злоумышленники не использовали этот недостаток, группы безопасности должны ограничить уровень доверительных отношений, которые имеют их DNS-серверы с другими. Ќастройка DNS-серверов таким образом, чтобы они не опирались на доверительные отношени€ с другими DNS-серверами, затрудн€ет использование киберпреступниками DNS-сервера дл€ компрометации записей на законных серверах.

—уществует множество инструментов дл€ проверки наличи€ угроз безопасности DNS.

»спользование протокола DNSSEC

–асширени€ безопасности системы доменных имен (DNSSEC - Domain Name System Security Extensions) используют криптографию с открытым ключом дл€ подписи DNS-записей, поэтому они добавл€ют функцию проверки и позвол€ют системам определ€ть, €вл€етс€ ли адрес законным или нет. Ёто помогает провер€ть и аутентифицировать подлинность запросов и ответов и тем самым предотвращать подделку.

ѕри обычной работе протокол DNSSEC св€зывает уникальную криптографическую подпись с другой информацией DNS, такой как записи CNAME и A. «атем DNS-распознаватель использует эту подпись дл€ проверки подлинности DNS-ответа перед отправкой его пользователю.

DNSSEC

ѕодписи безопасности гарантируют, что ответы на запросы, которые получают пользователи, провер€ютс€ законным исходным сервером. ’от€ DNSSEC может предотвратить отравление кэша DNS, он имеет такие недостатки, как сложное развертывание, предоставление данных и у€звимость перечислени€ зон в более ранних верси€х.

Ќе уверены, что в вашем домене включен DNSSEC? Ќемедленно проверьте с помощью инструмента DNSSEC Test.


»спользуйте последние версии программного обеспечени€ DNS и BIND (Berkeley Internet Name Domain)

BIND версии 9.5.0 или выше обычно имеет расширенные функции безопасности, такие как криптографически безопасные идентификаторы транзакций и рандомизаци€ портов, что помогает минимизировать отравление DNS-кэша.  роме того, »“-специалисты должны поддерживать программное обеспечение DNS в актуальном состо€нии и гарантировать, что оно €вл€етс€ самой последней и безопасной версией.

ѕомимо вышеизложенного, ниже приведены другие эффективные способы или практики предотвращени€ отравлени€ DNS-кэшем.

  • Ќастройка DNS-сервера дл€ ответа только информацией, относ€щейс€ к запрошенному домену
  • ”бедитесь, что на сервере кэша хран€тс€ только данные, относ€щиес€ к запрошенному домену
  • ѕринудительно использовать сети IP дл€ всего трафика
  • ќтключить функцию рекурсивных запросов DNS

«аключение

ќтравление кэш-пам€ти DNS приводит к перенаправлению пользователей домена на вредоносные адреса. Ќекоторые серверы, управл€емые злоумышленниками, могут обманывать ничего не подозревающих пользователей, которые загружают вредоносные программы или предоставл€ют пароли, информацию о кредитных картах и другие конфиденциальные личные данные. ƒл€ предотвращени€ этого важно использовать передовые методы обеспечени€ безопасности.