Jump to content

Взлом DNS

Перехват DNS , отравление DNS или перенаправление DNS — это практика нарушения разрешения запросов системы доменных имен (DNS). [1] компьютера, Этого можно достичь с помощью вредоносного ПО, которое переопределяет конфигурацию TCP/IP чтобы указать на мошеннический DNS-сервер, находящийся под контролем злоумышленника, или путем изменения поведения доверенного DNS-сервера так, чтобы он не соответствовал интернет-стандартам .

Эти изменения могут быть внесены в злонамеренных целях, таких как фишинг , в корыстных целях провайдерами интернет-услуг (ISP), Великим китайским файрволом и провайдерами общедоступных/маршрутизаторов онлайн- серверов DNS для направления веб-трафика пользователей на интернет-провайдера. собственные веб-серверы , на которых может размещаться реклама, собираться статистика или использоваться для других целей интернет-провайдера; а поставщики услуг DNS блокируют доступ к выбранным доменам в качестве формы цензуры .

Технический опыт

[ редактировать ]

Одной из функций DNS-сервера является преобразование доменного имени в IP-адрес , который необходим приложениям для подключения к интернет-ресурсу, например веб-сайту . Эта функциональность определена в различных формальных интернет-стандартах определяют протокол , которые очень подробно . Компьютеры и пользователи, подключенные к Интернету, неявно доверяют DNS-серверам правильное преобразование имен в фактические адреса, зарегистрированные владельцами интернет-домена.

Снимок экрана команды dig , показывающий ложный ответ иранского DNS-сервера на запрос разрешения персидской Википедии.

Мошеннический DNS-сервер

[ редактировать ]

Мошеннический DNS-сервер преобразует доменные имена желательных веб-сайтов (поисковых систем, банков, брокеров и т. д.) в IP-адреса сайтов с непредусмотренным содержимым, даже вредоносных веб-сайтов. Большинство пользователей зависят от DNS-серверов, автоматически назначенных их интернет-провайдерами . Назначенные маршрутизатору DNS-серверы также можно изменить путем удаленного использования уязвимости в прошивке маршрутизатора. [2] Когда пользователи пытаются посетить веб-сайты, они вместо этого перенаправляются на поддельный веб-сайт. Такая атака называется фармингом . Если сайт, на который они перенаправляются, является вредоносным веб-сайтом, маскирующимся под законный веб-сайт с целью обманного получения конфиденциальной информации, это называется фишингом . [3]

Манипуляции со стороны интернет-провайдеров

[ редактировать ]

Ряд потребительских интернет-провайдеров, таких как AT&T , [4] Cablevision компании Optimum Online , [5] СенчуриЛинк , [6] Кокс Коммуникейшнс , RCN , [7] Роджерс , [8] Чартерные коммуникации (Спектр) , Плюснет , [9] Веризон , [10] Спринт , [11] Т-Мобайл США , [12] Вирджин Медиа , [13] [14] Frontier Communications , Белл Симпатико , [15] Дойче Телеком АГ , [16] Оптус , [17] Медиаком , [18] ОНО , [19] разговор Разговор , [20] Бигпонд ( Тельстра ), [21] [22] [23] [24] TTNET, Türksat и все индонезийские интернет-провайдеры используют или использовали перехват DNS в своих целях, например для показа рекламы. [25] или сбор статистики. Голландские интернет-провайдеры XS4ALL и Ziggo используют перехват DNS по решению суда: им было приказано заблокировать доступ к The Pirate Bay и отобразить страницу с предупреждением. [26] в то время как все интернет-провайдеры в Индонезии перехватывают DNS в целях соблюдения национального закона о DNS. [27] который требует, чтобы каждый индонезийский интернет-провайдер перехватил порт 53 и перенаправил его на свой сервер, чтобы заблокировать веб-сайт, указанный в Trustpositif от Kominfo в рамках кампании Internet Sehat. Эти методы нарушают стандарт RFC для ответов DNS (NXDOMAIN). [28] и потенциально может сделать пользователей уязвимыми для атак с использованием межсайтовых сценариев . [25]

Проблема перехвата DNS связана с перехватом ответа NXDOMAIN. Приложения Интернета и интрасети используют ответ NXDOMAIN для описания состояния, когда в DNS нет записи для указанного хоста. Если кто-то запросил недопустимое имя домена (например, www.example.invalid), он должен получить ответ NXDOMAIN, информирующий приложение о том, что имя недействительно, и выполнение соответствующего действия (например, отображение ошибки или отказ от попыток подключиться к серверу). Однако, если имя домена запрашивается у одного из этих несоответствующих интернет-провайдеров, всегда будет получен поддельный IP-адрес, принадлежащий интернет-провайдеру. В веб-браузере такое поведение может раздражать или оскорблять, поскольку при подключении к этому IP-адресу отображается страница перенаправления интернет- вместо надлежащего сообщения об ошибке провайдера, иногда с рекламой. Однако другие приложения, использующие ошибку NXDOMAIN, вместо этого попытаются инициировать подключения к этому поддельному IP-адресу, потенциально раскрывая конфиденциальную информацию.

Примеры функций, которые перестают работать, когда интернет-провайдер перехватывает DNS:

  • Роуминговые ноутбуки, являющиеся членами домена Windows Server, будут ошибочно полагать, что они вернулись в корпоративную сеть, поскольку такие ресурсы, как контроллеры домена , серверы электронной почты и другая инфраструктура, будут казаться доступными. Поэтому приложения будут пытаться инициировать подключения к этим корпоративным серверам, но терпят неудачу, что приводит к снижению производительности, ненужному трафику в интернет-соединении и тайм-аутам .
  • Многие небольшие офисные и домашние сети не имеют собственного DNS-сервера и вместо этого полагаются на широковещательное разрешение имен. Многие версии Microsoft Windows по умолчанию отдают приоритет разрешению имен DNS над широковещательными сообщениями разрешения имен NetBIOS; поэтому, когда DNS-сервер интернет-провайдера возвращает (технически действительный) IP-адрес для имени нужного компьютера в локальной сети, подключающийся компьютер использует этот неправильный IP-адрес и неизбежно не может подключиться к нужному компьютеру в локальной сети. Обходные пути включают использование правильного IP-адреса вместо имени компьютера или изменение значения реестра DhcpNodeType для изменения порядка службы разрешения имен. [29]
  • Браузеры, такие как Firefox, больше не имеют функции «Просмотр по имени» (когда ключевые слова, введенные в адресную строку, перенаправляют пользователей на ближайший соответствующий сайт). [30]
  • Локальный DNS-клиент, встроенный в современные операционные системы, кэширует результаты поиска DNS из соображений производительности. Если клиент переключается между домашней сетью и VPN , ложные записи могут оставаться в кэше, что приводит к сбою в обслуживании VPN-соединения.
  • Решения по борьбе со спамом DNSBL основаны на DNS; поэтому ложные результаты DNS мешают их работе.
  • Конфиденциальные пользовательские данные могут быть раскрыты приложениями, которые интернет-провайдер обманом заставляет поверить, что серверы, к которым они хотят подключиться, доступны.
  • Пользователь не может выбирать, к какой поисковой системе обратиться в случае неправильного ввода URL-адреса в браузере, поскольку интернет-провайдер определяет, какие результаты поиска отображаются пользователю.
  • Компьютеры, настроенные на использование разделенного туннеля с VPN-подключением, перестанут работать, поскольку имена интрасети, которые не должны разрешаться за пределами туннеля в общедоступном Интернете, начнут разрешаться в фиктивные адреса вместо правильного разрешения через VPN-туннель на частном DNS-сервере, когда из Интернета получен ответ NXDOMAIN. Например, почтовый клиент, пытающийся разрешить запись DNS A для внутреннего почтового сервера, может получить ложный ответ DNS, который направляет его на веб-сервер платных результатов, при этом сообщения стоят в очереди для доставки в течение нескольких дней, а попытка повторной передачи оказывается тщетной. [31]
  • Он нарушает протокол автообнаружения веб-прокси (WPAD), заставляя веб-браузеры ошибочно полагать, что у интернет-провайдера настроен прокси-сервер .
  • Это ломает программное обеспечение для мониторинга. Например, если кто-то периодически связывается с сервером, чтобы определить его работоспособность, монитор никогда не увидит сбоя, если только он не попытается проверить криптографический ключ сервера.

В некоторых, но не в большинстве случаев, интернет-провайдеры предоставляют настраиваемые абонентом параметры для отключения перехвата ответов NXDOMAIN. При правильной реализации такая настройка возвращает DNS к стандартному поведению. Однако другие интернет-провайдеры вместо этого используют файлы cookie веб-браузера для сохранения предпочтений. В этом случае основное поведение не устраняется: DNS-запросы продолжают перенаправляться, а страница перенаправления интернет-провайдера заменяется поддельной страницей ошибки DNS. Приложения, отличные от веб-браузеров, не могут быть исключены из схемы с помощью файлов cookie, поскольку отказ касается только протокола HTTP , когда схема фактически реализована в протокольно-нейтральном DNS.

Ответ

[ редактировать ]

В Великобритании Управление комиссара по информации признало, что практика принудительного перехвата DNS противоречит PECR и Директиве ЕС 95/46 о защите данных, которые требуют явного согласия на обработку коммуникационного трафика. [13] В Германии в 2019 году выяснилось, что Deutsche Telekom AG не только манипулировала своими DNS-серверами, но и передавала сетевой трафик (например, незащищенные файлы cookie, когда пользователи не использовали HTTPS ) сторонней компании, поскольку веб-портал T -Online, на который пользователи были перенаправлены из-за манипуляций с DNS, больше не принадлежал Deutsche Telekom. После того как пользователь подал заявление о возбуждении уголовного дела, Deutsche Telekom прекратила дальнейшие манипуляции с DNS. [32]

ICANN , международная организация, отвечающая за управление доменными именами верхнего уровня, опубликовала меморандум, в котором подчеркивается обеспокоенность и подтверждается: [31]

ICANN настоятельно не рекомендует использовать перенаправление DNS, подстановочные знаки, синтезированные ответы и любую другую форму замены NXDOMAIN в существующих gTLD, ccTLD и на любом другом уровне дерева DNS для доменных имен класса реестра.

Средство

[ редактировать ]

Конечные пользователи, недовольные плохими вариантами отказа, такими как файлы cookie, отреагировали на спор, найдя способы избежать поддельных ответов NXDOMAIN. Программное обеспечение DNS, такое как BIND и Dnsmasq, предлагает варианты фильтрации результатов и может запускаться со шлюза или маршрутизатора для защиты всей сети. Google, среди прочих, использует открытые DNS-серверы, которые в настоящее время не возвращают поддельные результаты. Таким образом, пользователь может использовать общедоступный DNS Google вместо DNS-серверов своего интернет-провайдера, если он готов согласиться с тем, что он использует эту службу в соответствии с политикой конфиденциальности Google и потенциально подвергается воздействию другого метода, с помощью которого Google может отслеживать пользователя. Одним из ограничений этого подхода является то, что некоторые провайдеры блокируют или перезаписывают внешние DNS-запросы. OpenDNS , принадлежащий Cisco, — аналогичный популярный сервис, который не изменяет ответы NXDOMAIN.

Google в апреле 2016 года запустил сервис DNS-over-HTTPS. [33] Эта схема позволяет преодолеть ограничения устаревшего протокола DNS. Он выполняет удаленную проверку DNSSEC и передает результаты в защищенный туннель HTTPS.

Существуют также обходные пути на уровне приложения, такие как NoRedirect. [34] Расширение Firefox , которое смягчает некоторые последствия. Подобный подход исправляет только одно приложение (в данном примере Firefox) и не устраняет другие возникшие проблемы. Владельцы веб-сайтов могут обмануть некоторых угонщиков, используя определенные настройки DNS. Например, установка записи TXT со значением «неиспользуется» для адреса с подстановочным знаком (например, *.example.com). В качестве альтернативы они могут попытаться установить для CNAME подстановочного знака значение «example.invalid», воспользовавшись тем фактом, что согласно RFC гарантированно не существует «.invalid». Ограничением этого подхода является то, что он предотвращает перехват только в этих конкретных доменах, но может решить некоторые проблемы безопасности VPN, вызванные перехватом DNS.

См. также

[ редактировать ]

Ссылки

[ редактировать ]
  1. ^ «Что такое перехват DNS | Объяснение атак с перенаправлением | Imperva» . Учебный центр . Проверено 13 декабря 2020 г.
  2. ^ Константин, Лукиан (27 января 2015 г.). «Уязвимость перехвата DNS затрагивает маршрутизатор D-Link DSL и, возможно, другие устройства» . Проверено 21 июня 2017 г.
  3. ^ «Мошеннические серверы системы доменных имен» . Тренд Микро . Проверено 15 декабря 2007 г.
  4. ^ «Страница поддержки ATT DNS» . 27 марта 2017 г. Проверено 24 февраля 2018 г.
  5. ^ «Оптимальная онлайн-помощь DNS» . Архивировано из оригинала 13 августа 2009 года.
  6. ^ «Re: [Qwest] Отказ от перехвата CenturyLink Web Helper не w - CenturyLink | DSLReports Forums» . Отчеты DSL . Проверено 12 октября 2016 г.
  7. ^ «Кто украл мой веб-браузер?» . 13 октября 2009 г.
  8. ^ «Роджерс использует глубокую проверку пакетов для перенаправления DNS» . dslreports.com. 20 июня 2008 года . Проверено 15 июня 2010 г.
  9. ^ «Британский интернет-провайдер предоставляет CDN для Google» . equk.co.uk. 7 апреля 2014 года . Проверено 25 октября 2015 г.
  10. ^ «Отказ от помощи DNS» . Архивировано из оригинала 12 февраля 2015 года . Проверено 12 февраля 2015 г.
  11. ^ «Перехватывают ли вышки Sprint 3G и 4G ответы NXDOMAIN? Дополнительная информация в комментариях... • r/Sprint» . реддит . 5 сентября 2014 года . Проверено 24 февраля 2018 г.
  12. ^ «Как отключить перехват NXDOMAIN? • r/tmobile» . реддит . 20 июля 2015 года . Проверено 24 февраля 2018 г.
  13. ^ Перейти обратно: а б «ICO: Мы не остановим расширенный поиск сетевых ошибок» . Архивировано из оригинала 17 февраля 2015 года.
  14. ^ «Справочный номер дела ENQ0265706» (PDF) . Я не убежден, что существует какая-либо вероятность причинения ущерба или вреда подписчикам или пользователям, которая оправдывала бы принятие официальных мер в этом случае. [ постоянная мертвая ссылка ]
  15. ^ «Bell начинает перехватывать запросы домена NS» . 4 августа 2009 г.
  16. ^ Рейко Капс (17 апреля 2009 г.). «Telekom перенаправляет сообщения об ошибках DNS» (на немецком языке) . Проверено 9 декабря 2019 г.
  17. ^ "Optus" "О странице результатов поиска" " . Архивировано из оригинала 13 июля 2012 года . Проверено 10 декабря 2009 г.
  18. ^ «Хотите реальный пример того, почему нам нужна сетевая нейтральность? У меня он есть» . 25 сентября 2009 г.
  19. ^ «XSS отражает перенаправление dnssearch.Ono.es NXD» . 10 мая 2010 г. Архивировано из оригинала 12 июня 2018 г. . Проверено 24 февраля 2018 г.
  20. ^ «TalkTalk — Поиск» . error.talktalk.co.uk . Проверено 24 февраля 2018 г. [ постоянная мертвая ссылка ]
  21. ^ «BigPond перенаправляет опечатки на «неэтичную» фирменную страницу поиска» . CRN Австралия . Проверено 24 февраля 2018 г.
  22. ^ «Устав. Повреждение протокола DNS, т.е. захват хостов» .
  23. ^ «Перехват DNS в Road Runner приводит к замедлению работы веб-страниц» . Архивировано из оригинала 10 декабря 2010 года.
  24. ^ «Роджерс нарушает сетевой нейтралитет, перехватывая неудачные запросы DNS» . Архивировано из оригинала 27 июля 2008 года.
  25. ^ Перейти обратно: а б Сингел, Райан (19 апреля 2008 г.). «Реклама на страницах ошибок интернет-провайдеров позволяет хакерам захватить всю сеть, сообщает исследователь» . Проводной .
  26. ^ Оцифровано. «XS4ALL временно блокирует адреса Pirate Bay | Блог XS4ALL» . blog.xs4all.nl (на голландском языке) . Проверено 5 октября 2017 г.
  27. ^ Танджунг, Тидар. «Коминфо» дорабатывает национальный DNS? . Проверено 11 июня 2018 г.
  28. ^ Эндрюс, М. (1998). «Негативное кэширование DNS-запросов» . дои : 10.17487/RFC2308 . {{cite journal}}: Для цитирования журнала требуется |journal= ( помощь )
  29. ^ «NetBIOS и WINS» . Howtonetworking.com . Проверено 24 февраля 2018 г.
  30. ^ «Использование расширения Firefox + NoRedirect для предотвращения перехвата DNS» . Архивировано из оригинала 3 марта 2011 года.
  31. ^ Перейти обратно: а б «Вред, причиненный заменой NXDOMAIN в доменных именах верхнего уровня и других доменных именах класса реестра» (PDF) . ИКАНН . 24 ноября 2009 года . Проверено 23 сентября 2010 г.
  32. ^ «Telekom прекращает перехват DNS» . де .
  33. ^ «DNS-over-HTTPS — общедоступный DNS» . Разработчики Google . 4 сентября 2018 года . Проверено 12 марта 2019 г.
  34. ^ «NoRedirect – Дополнения для Firefox» . addons.mozilla.org . Архивировано из оригинала 25 февраля 2018 года . Проверено 24 февраля 2018 г.
Retrieved from "https://en.wikipedia.org/w/index.php?title=DNS_hijacking&oldid=1225091104"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 96be93562bb0504a16b5dfde08a2ebec__1716359220
URL1:https://arc.ask3.ru/arc/aa/96/ec/96be93562bb0504a16b5dfde08a2ebec.html
Заголовок, (Title) документа по адресу, URL1:
DNS hijacking - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)