Перепривязка DNS

Перепривязка DNS — это метод манипулирования разрешением доменных имен, который обычно используется в качестве формы компьютерной атаки . В ходе этой атаки вредоносная веб-страница заставляет посетителей запускать клиентский сценарий , который атакует компьютеры в других местах сети. Теоретически политика одного и того же происхождения предотвращает это: клиентским сценариям разрешен доступ к контенту только на том же хосте, который обслуживал сценарий. Сравнение доменных имен является важной частью соблюдения этой политики, поэтому перепривязка DNS обходит эту защиту, злоупотребляя системой доменных имен (DNS).

Эту атаку можно использовать для взлома частной сети жертвы , заставляя веб-браузер получать доступ к компьютерам по частным IP-адресам и возвращать результаты злоумышленнику. Его также можно использовать для использования компьютера-жертвы для рассылки спама , распределенных атак типа «отказ в обслуживании» или других вредоносных действий.

Как работает перепривязка DNS

Злоумышленник регистрирует домен (например, Attacker.com) и делегирует его DNS-серверу , находящемуся под контролем злоумышленника. Сервер настроен так, чтобы отвечать записью с очень коротким временем существования (TTL) ответа DNS , что предотвращает кэширование . Когда жертва заходит на вредоносный домен, DNS-сервер злоумышленника сначала отвечает IP-адресом сервера, на котором размещен вредоносный клиентский код. Например, они могут указать браузер жертвы на веб-сайт, содержащий вредоносные сценарии JavaScript или Flash , предназначенные для выполнения на компьютере жертвы.

Вредоносный клиентский код осуществляет дополнительный доступ к исходному доменному имени (например, Attacker.com). Это разрешено политикой одного и того же происхождения. Однако когда браузер жертвы запускает сценарий, он отправляет новый DNS-запрос для домена, и злоумышленник отвечает новым IP-адресом. Например, они могут ответить внутренним IP-адресом или IP-адресом цели где-то еще в Интернете.

Защита

Следующие методы пытаются предотвратить атаки перепривязки DNS: ^[1]^[2]^[3]^[4]

DNS-серверы в цепочке могут фильтровать частные IP-адреса и IP-адреса обратной связи :
- Внешние общедоступные DNS-серверы (например, OpenDNS ) могут реализовывать DNS-фильтрацию. ^[5]
- Локальные системные администраторы (ы) имен организации могут настроить локальный сервер на блокировку разрешения внешних имен во внутренние IP-адреса. (Обратной стороной этого подхода является то, что злоумышленник может сопоставить используемые диапазоны внутренних адресов.)
Брандмауэр (например , DNSwall) на шлюзе или на локальном компьютере может фильтровать ответы DNS, проходящие через него, отбрасывая локальные адреса. ^[6]^[7]
Веб-браузеры могут сопротивляться перепривязке DNS:
- Веб-браузеры могут реализовывать закрепление DNS: ^[8] IP-адрес привязан к значению, полученному в первом ответе DNS. Этот метод может блокировать некоторые законные способы использования динамического DNS и может не сработать против всех атак. Однако важно обеспечить отказоустойчивость (прекратить рендеринг), если IP-адрес все же изменится, поскольку использование IP-адреса после истечения срока TTL может открыть противоположную уязвимость, когда IP-адрес законно изменился, и теперь IP-адрес с истекшим сроком действия можно контролировать. со стороны злоумышленника.
- Расширение NoScript для Firefox включает ABE — функцию внутри браузера, подобную брандмауэру, которая в конфигурации по умолчанию предотвращает атаки на локальную сеть, предотвращая доступ внешних веб-страниц к локальным IP-адресам.
Веб-серверы могут отклонять HTTP- запросы с нераспознанным заголовком Host .

См. также

Ссылки

^ «Защита браузеров от атак с перепривязкой DNS» (PDF) . crypto.stanford.edu . Ноябрь 2007 года . Проверено 10 декабря 2018 г.
^ «Защита браузеров от атак с перепривязкой DNS» (PDF) . www.adambart.com . Январь 2009 года . Проверено 10 декабря 2018 г.
^ «ПЕРЕПРИНДИКАЦИЯ DNS» (PDF) . www.ptsecurity.com . 2012 . Проверено 10 декабря 2018 г.
^ «Защита маршрутизатора от возможных атак с перепривязкой DNS — блог TrendLabs Security Intelligence» . blog.trendmicro.com . 04 августа 2010 г. Проверено 10 декабря 2018 г.
^ Улевич, Давид (14 апреля 2008 г.). «Наконец-то появилось реальное решение проблемы атак с перепривязкой DNS» . Циско . Проверено 15 июля 2017 г.
^ google-dnswall на GitHub
^ «Службы — DNS — Защита от перепривязки DNS | Документация pfSense» . www.netgate.com . Проверено 10 декабря 2018 г.
^ «FireDrill: интерактивная перепривязка DNS» (PDF) . www.usenix.org . Проверено 10 декабря 2018 г.

Внешние ссылки

Защита браузеров от атак с перепривязкой DNS (2007 г.)
Обновление усиления DNS для Adobe Flash Player (2008 г.)
Security Sun Alert 200041 для Sun JVM (04 сентября 2008 г.)
Перепривязка DNS с Робертом RSnake Hansen (2009)

[1] «Защита браузеров от атак с перепривязкой DNS» (PDF) . crypto.stanford.edu . Ноябрь 2007 года . Проверено 10 декабря 2018 г.

[2] «Защита браузеров от атак с перепривязкой DNS» (PDF) . www.adambart.com . Январь 2009 года . Проверено 10 декабря 2018 г.

[3] «ПЕРЕПРИНДИКАЦИЯ DNS» (PDF) . www.ptsecurity.com . 2012 . Проверено 10 декабря 2018 г.

[4] «Защита маршрутизатора от возможных атак с перепривязкой DNS — блог TrendLabs Security Intelligence» . blog.trendmicro.com . 04 августа 2010 г. Проверено 10 декабря 2018 г.

[5] Улевич, Давид (14 апреля 2008 г.). «Наконец-то появилось реальное решение проблемы атак с перепривязкой DNS» . Циско . Проверено 15 июля 2017 г.

[6] -dnswall на GitHub

[7] «Службы — DNS — Защита от перепривязки DNS | Документация pfSense» . www.netgate.com . Проверено 10 декабря 2018 г.

[8] «FireDrill: интерактивная перепривязка DNS» (PDF) . www.usenix.org . Проверено 10 декабря 2018 г.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]