Висячие записи DNS: Как предотвратить захват поддоменов?

Юнес Тарада

6 месяцев назад

Зависание DNS - это критическая проблема, возникающая из-за уязвимостей в системе доменных имен (DNS) - децентрализованной системе, используемой для определения местоположения ресурсов в Интернете. Переводя человекочитаемые доменные имена, например google.com, в машиночитаемые IP-адреса, такие как 101.102.25.22, DNS обеспечивает бесперебойное подключение.

Думайте о нем как о телефонном справочнике, связывающем имена с номерами для облегчения доступа. Однако, когда в DNS происходят ошибки, они могут привести к появлению "висячих" записей DNS - записей, указывающих на несуществующие или снятые с эксплуатации ресурсы, - что подвергает домены значительным рискам безопасности. Решение этих проблем необходимо для обеспечения безопасного присутствия в Интернете.

Ключевые выводы

Висячие записи DNS подвергают домены серьезным рискам безопасности, указывая на несуществующие или выведенные из эксплуатации ресурсы.
К распространенным причинам неработающих DNS-записей относятся неправильная конфигурация, истечение срока действия услуг и прекращение использования хостинга.
Атаки с захватом поддоменов могут быть вызваны неработающими DNS-записями, что позволяет злоумышленникам контролировать и передавать вредоносный контент через скомпрометированные домены.
Записи аутентификации электронной почты особенно уязвимы к проблемам "висячих" DNS и требуют регулярного контроля для обеспечения правильной настройки.
Для эффективного обнаружения и устранения "висячих" DNS-записей необходимы как ручной аудит, так и автоматизированные средства мониторинга DNS.

Что такое висячие записи DNS?

Висящая запись DNS - это запись DNS, указывающая на ресурс, который больше не существует или недоступен. Киберпреступники в Интернете всегда охотятся за такими DNS-записями, поскольку они подвержены утечке информации. Некоторые из этих записей могут содержать конфиденциальную информацию о домене, превращаясь в золотую жилу данных, которой могут воспользоваться злоумышленники.

Распространенные сценарии, приводящие к зависанию DNS

Неправильная конфигурация DNS

Система доменных имен настраивается отдельно от интернет-ресурса, с которым мы хотим взаимодействовать. Записи DNS, добавленные в DNS, указывают на эти ресурсы, помогая нам получить к ним доступ. В некоторых случаях ранее настроенный ресурс может быть деконфигурирован его хозяином. Например, владелец домена настроил DNS-запись для указания на IP-адрес сервера. Теперь этот сервер больше не используется. Запись DNS теперь указывает на ресурс, который больше не существует, и поэтому ее можно назвать "висячей записью DNS".

Просроченные или удаленные облачные ресурсы

Если срок действия облачного сервиса, используемого владельцем домена, истекает или он удаляется, любая DNS-запись, указывающая на этот сервис, становится DNS-записью Danglish. Такая DNS-запись остается активной, и любой злоумышленник может использовать этот ресурс для передачи вредоносного содержимого.

Утратившие актуальность IP-адреса

Компания может перенести услуги к новому провайдеру, в то время как прежние IP-адреса устаревают. Однако он забывает обновить или удалить старые записи DNS. Эти старые записи уязвимы для атак с захватом поддоменов и могут быть легко использованы.

Вывод из эксплуатации или прекращение обслуживания

Сервер электронной почты, хостинг-аккаунт или сторонний поставщик услуг прекращают свою работу или выводятся из эксплуатации, однако записи DNS, такие как MX, A и CNAME, остаются активными и настроенными. Злоумышленники могут использовать эти активные "висячие" DNS-записи, чтобы выдать себя за прекратившего работу сервиса.

Упростите висячие DNS-записи с помощью PowerDMARC!

Опасности, связанные с висячими DNS-записями

Скрытые уязвимости DNS, такие как Dangling DNS, могут привести к эксплуатации домена и киберугрозам.

Что такое атака с захватом поддомена?

Когда злоумышленник обнаруживает висячую запись DNS, указывающую на деконфигурированный ресурс, он немедленно использует этот шанс. Злоумышленник захватывает (под)домен, на который указывает висячая запись DNS, и таким образом направляет весь трафик на контролируемый злоумышленником домен с полным доступом к содержимому и ресурсам домена.

Последующие последствия захвата вашего домена/поддомена злоумышленником:

Деконфигурированный домен или сервер может стать питательной средой для вредоносных ресурсов, которыми манипулирует злоумышленник и которые владелец домена не контролирует. Это означает, что злоумышленник может полностью использовать доменное имя для оказания незаконных услуг, запуска фишинговых кампаний для ничего не подозревающих жертв и подрыва доброго имени вашей организации на рынке.

Ваши записи DNS подвержены риску болтаться?

Ответ - да. Следующие записи проверки подлинности электронной почты могут быть уязвимы к проблемам с висячими DNS:

Запись DMARC

Протоколы аутентификации электронной почты, такие как DMARC настраиваются путем добавления TXT-записи в DNS. Помимо настройки политики для электронной почты вашего домена, вы также можете использовать DMARC для включения механизма отчетности, который будет отправлять вам множество информации о ваших доменах, поставщиках и источниках электронной почты.

SPF-запись

Еще одна часто используемая система проверки источников электронной почты, SPF существует в DNS в виде TXT-записи, содержащей список авторизованных источников отправки ваших писем.

TLS-RPT

Отчеты SMTP TLS (TLS-RPT) - это дополнительный механизм отчетов, настраиваемый вместе с MTA-STS для отправки владельцам доменов уведомлений в виде JSON-отчетов о проблемах с доставкой из-за сбоев в TLS-шифровании между двумя взаимодействующими почтовыми серверами.

Записи DKIM CNAME

Записи CNAME создают псевдонимы доменных имен для указания одного домена на другой. Вы можете использовать CNAME для указания поддомена на другой домен, который содержит всю информацию и конфигурации, относящиеся к поддомену.

Например, поддомен mail.domain.com является псевдонимом для CNAME info.domain.com. Следовательно, когда сервер ищет mail.domain.com он будет перенаправлен на info.domain.com.

Ваш DKIM Система аутентификации часто добавляется в DNS в виде записи CNAME.

Каждая из этих записей содержит ценную информацию о домене вашей организации, данных электронной почты, IP-адресах и источниках отправки электронной почты. Синтаксические ошибки, которые вы часто не замечаете, могут привести к появлению висячих записей, которые могут оставаться незамеченными в течение длительного времени. Домен, который был прекращен хостом с DKIM CNAME или SPF записью, указывающей на него, также может вызвать те же проблемы.

Примечание: Важно отметить, что записи MX, NS, A и AAA также подвержены проблемам Dangling DNS. В рамках данной статьи мы рассмотрели только те записи аутентификации электронной почты, которые имеют такие последствия, и предложили решения, как их исправить.

Как найти висячие записи DNS?

Выявление DNS-записей, указывающих на ресурсы, которые не были предоставлены на стадии зарождения, поможет защитить ваш бренд. Это можно сделать двумя способами: вручную и автоматически.

1. Ручное обнаружение висячих DNS

Хотя аудит вручную требует много времени, он может помочь обнаружить устаревшие записи DNS:

Проведите аудит записей DNS: Сверьте все записи DNS в системе управления DNS с активными ресурсами в вашей среде. Ищите записи, указывающие на несуществующие службы или IP-адреса.
Проверьте конфигурацию DNS: Используйте такие инструменты, как nslookup или dig чтобы запросить каждую запись и убедиться, что соответствующий ресурс активен.
Проверьте наличие бесхозных служб: Проверьте такие службы, как сторонний хостинг, облачные платформы или CDN-провайдеры, которые могли быть прекращены без удаления соответствующих записей DNS.

Хотя ручные методы являются тщательными, они подвержены человеческим ошибкам и могут стать неуправляемыми для доменов с большими или сложными конфигурациями DNS.

2. Автоматизированное обнаружение висячих DNS

Инструмент мониторинга DNS может оказаться полезным в таких обстоятельствах. Рассматривайте его как реестр для ваших доменов и поддоменов, то есть как единую платформу, которая собирает все необходимые данные о них в упорядоченном виде, которые можно легко отслеживать время от времени.

PowerDMARC делает именно это. Когда вы подписываетесь на наш инструмент мониторинга доменов, мы предоставляем вам доступ к настраиваемой панели, на которой собраны все ваши зарегистрированные корневые домены. Наша новая функция теперь может автоматически добавлять обнаруженные системой поддомены для пользователей без необходимости их ручной регистрации.

Проверьте записи вашего домена бесплатно!

Если вы не хотите заказывать постоянное обслуживание для мониторинга домена, вы можете проверить свой домен с помощью нашего инструмента PowerAnalyzer. Это бесплатно! После ввода имени домена и нажатия кнопки "Проверить сейчас" вы сможете просмотреть все конфигурации DNS-записей, а также все обнаруженные ошибки с советами по их быстрому устранению.

О сайте
Последние сообщения

Юнес Тарада

Юнес - руководитель группы операций в PowerDMARC, обладающий экспертными знаниями в области аутентификации и безопасности электронной почты. Юнес имеет сертификат Microsoft Azure Administrator Associate, а также сертификаты CompTIA A+ и многие другие.

Последние сообщения Юнеса Тарады (см. все)

Что такое BIMI? Полное руководство по требованиям и настройке логотипа BIMI - 21 апреля 2025 г.
Правила отправки массовых писем для Google, Yahoo, Microsoft и Apple iCloud Mail - 14 апреля 2025 г.
Атаки на засолку электронной почты: Как скрытый текст обходит защиту - 26 февраля 2025 г.