#ит_статьи #информационная_безопасность #dns_spoofing
Методы и задачи DNS Spoofing или DNS Cache Poisoning
Корректное функционирование DNS является критически важным для сети организации, подсоединенной к Интернету, и для Интернета в целом. Действительно, если нарушителю удастся сделать так, чтобы атакуемый хост получил из DNS сфальсифицированную информацию, то клиент будет отправлять данные на подложный IP-адрес. В лучшем случае результатом будет отказ в обслуживании, в худшем - нарушитель получит возможность перехвата трафика со всеми вытекающими последствиями. Например, нарушитель подменил данные об IP-адресе WWW-сайта банка citi.com на адрес подконтрольного ему хоста и создал на этом хосте веб-страницу, имитирующую сайт банка. Ничего не подозревающий клиент банка, направив свой броузер на citi.com, соединяется с хостом нарушителя и, полагая, что работает на сайте банка, вводит конфиденциальную информацию о своем счете, которая немедленно попадает к заливщикам и дроповодам.
Для того, чтобы сфальсифицировать данные DNS, нарушитель может использовать несколько методов, рассмотрим их в порядке возрастания масштаба атаки:
Нарушитель отправляет подложный DNS-ответ (в нашем примере - с неверным адресом хоста citi.net) атакуемой рабочей станции luzer-5263548.ett.ua. Ответ отправляется от имени сервера после того, как рабочая станция направила серверу соответствующий запрос. Атака направлена против единственной рабочей станции.
Нарушитель отправляет подложный DNS-ответ серверу ns.ett.ua, когда тому требуется найти адрес сервера банка citi.com. Сфальсифицированные данные сохраняются в кэше сервера ns.ett.ua в течение указанного нарушителем времени жизни записи, которое может быть очень большим. Действие атаки распространяется на все рабочие станции, использующие ns.ett.ua в качестве своего DNS-сервера.
Нарушитель от имени первичного сервера банка ns.citi.com производит передачу сфальсифицированной зоны citi.com на вторичный сервер ns2.citi.com. Таким образом нарушитель вводит в заблуждение все DNS-серверы Интернета, которые обратятся к ns2.citi.com за официальной информацией о зоне citi.com, и, следовательно, все рабочие станции, которые пользуются услугами этих серверов. Это может быть уже довольно значительная часть Интернета.
Используя динамическое обновление, нарушитель изменяет базу данных зоны citi.com на первичном сервере ns.citi.com. В этом случае весь Интернет будет пользоваться данными зоны citi.com, сфальсифицированными нарушителем.
Методы и задачи DNS Spoofing или DNS Cache Poisoning
Корректное функционирование DNS является критически важным для сети организации, подсоединенной к Интернету, и для Интернета в целом. Действительно, если нарушителю удастся сделать так, чтобы атакуемый хост получил из DNS сфальсифицированную информацию, то клиент будет отправлять данные на подложный IP-адрес. В лучшем случае результатом будет отказ в обслуживании, в худшем - нарушитель получит возможность перехвата трафика со всеми вытекающими последствиями. Например, нарушитель подменил данные об IP-адресе WWW-сайта банка citi.com на адрес подконтрольного ему хоста и создал на этом хосте веб-страницу, имитирующую сайт банка. Ничего не подозревающий клиент банка, направив свой броузер на citi.com, соединяется с хостом нарушителя и, полагая, что работает на сайте банка, вводит конфиденциальную информацию о своем счете, которая немедленно попадает к заливщикам и дроповодам.
Для того, чтобы сфальсифицировать данные DNS, нарушитель может использовать несколько методов, рассмотрим их в порядке возрастания масштаба атаки:
Нарушитель отправляет подложный DNS-ответ (в нашем примере - с неверным адресом хоста citi.net) атакуемой рабочей станции luzer-5263548.ett.ua. Ответ отправляется от имени сервера после того, как рабочая станция направила серверу соответствующий запрос. Атака направлена против единственной рабочей станции.
Нарушитель отправляет подложный DNS-ответ серверу ns.ett.ua, когда тому требуется найти адрес сервера банка citi.com. Сфальсифицированные данные сохраняются в кэше сервера ns.ett.ua в течение указанного нарушителем времени жизни записи, которое может быть очень большим. Действие атаки распространяется на все рабочие станции, использующие ns.ett.ua в качестве своего DNS-сервера.
Нарушитель от имени первичного сервера банка ns.citi.com производит передачу сфальсифицированной зоны citi.com на вторичный сервер ns2.citi.com. Таким образом нарушитель вводит в заблуждение все DNS-серверы Интернета, которые обратятся к ns2.citi.com за официальной информацией о зоне citi.com, и, следовательно, все рабочие станции, которые пользуются услугами этих серверов. Это может быть уже довольно значительная часть Интернета.
Используя динамическое обновление, нарушитель изменяет базу данных зоны citi.com на первичном сервере ns.citi.com. В этом случае весь Интернет будет пользоваться данными зоны citi.com, сфальсифицированными нарушителем.