что такое подмена DNS

Что такое подмена DNS? Подмена DNS - это тактика атаки, обычно используемая для обмана компаний. DNS никогда не был безопасным сам по себе. Поскольку он был разработан в 1980-х годах, безопасность не была главной проблемой, когда Интернет был еще диковинкой. Это побудило недобросовестных участников со временем воспользоваться этой проблемой и разработать сложные атаки на основе DNS, такие как подмена DNS.

Определение подмены DNS

Подмена DNS - это техника, используемая для перехвата запроса веб-браузера на веб-сайт и перенаправления пользователя на другой веб-сайт. Это может быть сделано либо путем изменения IP-адреса DNS-серверов, либо путем изменения IP-адреса самого сервера доменных имен.

Подмена DNS часто используется в фишинговых схемах, когда пользователей обманом заставляют посещать поддельные веб-сайты, которые выглядят как подлинные. Эти поддельные сайты могут запрашивать личную информацию, например, номера кредитных карт или номера социального страхования, которые преступники могут использовать для кражи личных данных.

Что такое атака с подменой DNS?

Атака DNS spoofing - это когда злоумышленник выдает себя за DNS-сервер и отправляет ответы на DNS-запросы, которые отличаются от ответов, отправленных легитимным сервером.

Злоумышленник может отправить любой ответ на запрос жертвы, включая ложные IP-адреса хостов или другие виды ложной информации. Это может быть использовано для направления пользователя на сайт, созданный под видом другого сайта, или для выдачи ложной информации об услугах в сети.

В двух словах, злоумышленник может обманом заставить пользователя посетить вредоносный сайт без его ведома. Под подменой DNS понимается любая попытка изменить записи DNS, возвращаемые пользователю, и перенаправить его на вредоносный сайт.

Он может использоваться в различных вредоносных целях, в том числе:

  • Распространение вредоносных программ, программ-вымогателей и фишинговых афер
  • Сбор информации о пользователях
  • Содействие другим видам киберпреступлений.

Как работает подмена DNS?

Сервер DNS преобразует доменные имена в IP-адреса, чтобы люди могли подключаться к веб-сайтам. Если хакер хочет направить пользователей на вредоносные сайты, ему сначала придется изменить настройки DNS. Это может быть сделано путем использования слабых мест в системе или с помощью атаки грубой силы, когда хакеры пробуют тысячи различных комбинаций, пока не найдут ту, которая сработает.

Шаг 1 - Реконструкция

Первым шагом в успешной атаке является разведка - получение как можно больше информации о вашей цели. Хакер изучит вашу бизнес-модель, структуру сети сотрудников и политику безопасности, чтобы понять, какую информацию ему следует запросить и как ее получить.

Шаг 2 - Доступ

Собрав достаточно информации о цели, злоумышленники пытаются получить доступ к системе, используя уязвимости или метод грубой силы. Получив доступ, злоумышленники могут установить на систему вредоносное ПО, которое позволит им отслеживать трафик и извлекать конфиденциальные данные. Злоумышленник может отправлять пакеты, выдавая их за пакеты с легитимных компьютеров, что создаст впечатление, что они исходят из другого места.

Шаг 3 - Атака

Когда сервер имен получает эти пакеты, он сохраняет их в своем кэше и использует в следующий раз, когда кто-то запросит у него эту информацию. Когда авторизованные пользователи попытаются зайти на авторизованный сайт, они будут перенаправлены на неавторизованный сайт.

Методы подмены DNS

Существует несколько способов, но все они основаны на том, чтобы обмануть компьютер пользователя и заставить его использовать альтернативный DNS-сервер. Это позволяет злоумышленнику перехватывать запросы и направлять их на любой сайт, который он захочет.

1. Атаки типа "человек посередине

Наиболее распространенная атака на подмену DNS называется атакой "человек посередине" (MITM). Злоумышленник перехватывает электронную почту между двумя SMTP-серверами, чтобы прочитать весь ваш интернет-трафик в этом типе атаки. Затем злоумышленник перехватывает ваш запрос на разрешение доменного имени и отправляет его через свою сеть вместо реальной. В ответ они могут использовать любой IP-адрес - даже тот, который принадлежит фишинговому сайту.

2. Отравление кэша DNS

Злоумышленник использует ботнет или взломанное устройство в своей сети для отправки ложных ответов на DNS-запросы, отравляя локальный кэш неверной информацией. Это может использоваться для перехвата систем доменных имен (DNS) и атак типа "человек посередине".

3. Перехват DNS

Злоумышленник изменяет свой IP-адрес, чтобы создать впечатление, что он является авторитетным сервером имен для доменного имени. Затем он может отправить поддельные DNS-ответы клиенту, запрашивающему информацию об этом домене, направляя его на IP-адрес, контролируемый злоумышленником, вместо того чтобы правильно использовать общедоступные DNS-серверы. Эта атака наиболее распространена среди клиентов, которые не внедрили меры безопасности на своих маршрутизаторах или брандмауэрах.

Как предотвратить подмену DNS?

Внедрение механизмов обнаружения подмены DNS

DNSSEC является одним из предложенных решений этой проблемы. DNSSEC - это расширение для DNS, которое обеспечивает аутентификацию и целостность записей и предоставляет неавторитетные данные с серверов DNS. Оно гарантирует, что ответы не будут подделаны во время передачи. Он также обеспечивает конфиденциальность трафика данных между клиентами и серверами, так что расшифровать их могут только те, кто имеет действительные полномочия.

Тщательная фильтрация DNS-трафика

Фильтрация трафика DNS - это процесс проверки всего входящего и исходящего трафика в вашей сети. Это позволяет блокировать любую подозрительную активность в сети. Для этого можно использовать брандмауэр или другое программное обеспечение безопасности, которое предлагает такую функциональность.

Регулярно применяйте исправления к DNS-серверам

Регулярно применяйте обновления безопасности в операционных системах, приложениях и базах данных.

Используйте виртуальную частную сеть (VPN)

Если у вас нет доступа к HTTPS-соединению, используйте VPN. VPN создает зашифрованный туннель между вашим компьютером и веб-сайтом или службой, к которой вы обращаетесь. Поскольку они шифруют трафик в обоих направлениях, это не позволяет провайдерам видеть, какие сайты вы посещаете и какие данные отправляете или получаете.

Используйте брандмауэры

Установите брандмауэр на каждой системе, подключающейся к Интернету. Брандмауэр будет блокировать все входящие соединения, которые не были явно разрешены администратором сети.

Используйте протоколы аутентификации электронной почты

Вы можете использовать MTA-STS для борьбы с подделкой DNS. Записи, сохраненные в файле политики MTA-STS, загружаемом по HTTPS, сравниваются с MX-записями вашего MTA, запрашиваемыми через DNS. MTA также кэшируют файлы политик MTA-STS, что затрудняет проведение атаки на подмену DNS.

Вы можете отслеживать и решать проблемы с доставляемостью, включив TLS-RPT, что позволит получателям отправлять по SMTP TLS отчеты на ваш адрес электронной почты. Это поможет вам быть в курсе проблем с незашифрованным соединением. 

Включить ведение журнала и мониторинг DNS-запросов

Включите протоколирование и мониторинг DNS-запросов, чтобы вы могли отслеживать любые несанкционированные изменения, внесенные в ваши DNS-серверы.

Заключительные слова

Подмена DNS может доставить массу неудобств как посетителям, так и владельцам сайтов. Основной мотивацией злоумышленника при проведении атаки на подмену DNS является либо личная выгода, либо передача вредоносного ПО. Поэтому выбор надежной службы DNS-хостинга, использующей современные меры безопасности, для владельца сайта имеет решающее значение.

Кроме того, как посетитель сайта, вы должны "быть в курсе того, что вас окружает", потому что если вы заметите какие-либо несоответствия между сайтом, который вы ожидали посетить, и сайтом, который вы просматриваете в данный момент, вы должны немедленно покинуть этот сайт и попытаться предупредить законного владельца сайта.