Подмена dns что это
HackWare.ru
Этичный хакинг и тестирование на проникновение, информационная безопасность
Инструкция по использованию Router Scan by Stas’M. Часть вторая: Применение фальшивого DNS
При получении доступа к настройкам сетевого оборудования, когда физически мы находимся с ним не в одной локальной сети (по сути, когда невозможна атака человек-посередине), то одной из альтернатив может стать использование DNS прокси. Данный метод позволяет собрать разнообразную информацию и даже получить логины и пароли от сайтов. Данный метод применим, например, для каждого из роутеров в административную панель которых мы имеем доступ с помощью программы Router Scan by Stas’M.
Принцип работы DNS и фальшивого DNS
Если сказать очень упрощённо, то, когда в строку браузера мы вводим адрес сайта, например https://hackware.ru/, то компьютеру этот набор символов ничего не говорит. Он обращается к специально предназначенному для этого компьютеру в Интернете (DNS серверу) и спрашивает его, по какому адресу расположен домен hackware.ru. Сервер отвечает IP адресом. После этого наш компьютер обращается уже по IP адресу к серверу, на котором размещён hackware.ru. При этом в строке браузера ничего не меняется и для пользователей всё это происходит незаметно. Ещё раз повторю, это упрощённая, фактически, не совсем верная модель, но суть она отражает и для наших целей подходит идеально.
Когда мы получаем доступ к настройкам сетевого оборудования, то мы можем изменить любую информацию, в том числе и прописать адрес своего DNS сервера. Наш фальшивый DNS сервер мы можем настроить как угодно:
При этом, если мы выбрали подменять информацию только для определённых сайтов, то для всех остальных наш DNS прокси будет спрашивать верные IP у настоящего DNS сервера, а потом переправлять верный ответ.
Программы для DNS прокси
Если у вас дистрибутив, в котором в репозиториях DNSChef отсутствует, то вы можете самостоятельно установить любую из этих программ. Например, в производных Debian (Linux Mint, Ubuntu) это делается так:
Ещё DNSChef прокси работает на Windows, причём даже не нужно ставить зависимости – бинарные файлы скомпилированы уже с ними. Но я в качестве сервера не использую Windows, поэтому каких-то детальных инструкций дать не могу.
Обычно, мы не можем запустить DNS прокси на нашем собственном компьютере, поскольку для работы нужно несколько условий:
Самым простым и очевидным решением здесь является использование VDS. Можно воспользоваться готовыми вариантами, которые не требуют настройки (Debian, Ubuntu) и установить в них DNSChef как показано чуть выше. Можно целиком загрузить туда Kali Linux, поскольку хостер поддерживает пользовательские дистрибутивы. Это всё не принципиально – DNSChef везде будет работать одинаково. Если кому-то интересно, то я в качестве удалённого сервера использую BlackArch. Детальные инструкции по его настройке вы можете найти в разделе «Arch / BlackArch как сервер» здесь.
Независимо от того, кукую ОС вы выбрали, опции командной строки для DNSChef везде одинаковые.
Запуск и остановка DNS прокси
Запускать DNSChef нужно с ключом -i после которого должен идти IP вашего сервера (вашего VDS). Если вы по какой-то причине забыли IP вашего сервера, то узнать его можно, например, так:
Также для сохранения данных в файл можно воспользоваться опцией —logfile после которой указать путь до файла для сохранения истории запросов.
Ещё до самой команды можно поставить команду nohup, а после команды символ &; это приведёт к тому, что после закрытия терминала процесс продолжит свою работу в фоне (подробности здесь). Таким образом, если у меня IP 185.117.153.79, а сохранять данные я буду в файл /root/dns.log, то моя команда имеет полный вид:
Просматривать записываемые данные можно, например, так:
Если вы хотите остановить процесс, то узнайте его pid с помощью
Посмотрите, какой процесс прослушивает порт 53, а затем используйте команду
Сбор сведений, какие сайты посетил владелец роутера
Если запустить DNSChef с минимальным набором опций, например, так:
То DNSChef не будет оказывать никакого влияния на DNS записи. При получении DNS запроса он будет спрашивать у настоящего DNS сервера правдивые данные, а затем пересылать их запрашивающему. Таким образом, можно узнать, какие сайты были посещены.
Вносим изменения в роутер, доступ к которому мы получили. В поле Primary DNS Address я вписываю адрес своего DNS прокси и сохраняю изменения:
Перед тем как заменить запись на свою, обратите внимание на ту, которая там есть. Если она отличается от распространённых публичных DNS серверов (например, 8.8.8.8 и 8.8.4.4), то имеет смысл воспользоваться опцией —nameservers и указать там тот DNS, который присутствовал в настройках роутера изначально. Это очень хороший способ не выдать наше присутствие, поскольку роутер может использовать пользовательский DNS с только этому серверу известными записями (такое запросто может быть, если админ для своей локальной сети использует несуществующие домены). При этом ни наш сервер, ни сервер по умолчанию для запроса реальных данных (8.8.8.8) ничего об этих доменах не могут знать. Это может нарушить работу и пользователей роутера и выдать наше присутствие. Если же мы добавим к команде, например, —nameservers=212.109.216.106 (в моём случае, IP 212.109.216.106 – это та запись, которая изначально была для первичного DNS сервера), то через наш DNS прокси запросы будут идти на тот же самый DNS, что и настроил админ. При этом мы по-прежнему сможем вести запись запросов и модифицировать ответы, т.е. на нашу работу применение этой опции никак не сказывается.
После этого начинается сбор данных:
Кроме сайтов, непосредственно посещённых пользователем, некоторые программы делают запросы к сайтам и веб-приложениям, они тоже в этом списке. Из «человеческих» здесь можно обратить внимание на сайты:
У кого-то установлен автоматический обновлятель драйверов
Эти записи говорят об использовании Team viewer
А DNS запросы об этих сайтах говорят об использовании техники Apple
Тут видно, что наконец-то люди проснулись и начали пользоваться Интернетом:
Надеюсь это не роутер на работе – дальше там в основном идут одни социальные сети. ))
Узнать, какие сайты посетил пользователь уязвимого роутера – это хорошо, но явно мало.
Блокировка сайтов с использованием DNS прокси
Мы можем полностью «запретить» использование Интернета отправляя вместо реальных IP неверный в ответ на все запросы. Это делается опцией —fakeip. Пример:
У конечного пользователя будет ошибка что-то вроде невозможно подключиться к DNS, сайты открываться не будут.
Используя пример выше, рассмотрим ситуацию, что вы хотите перехватить запросы только для blackarch.ru и оставить запросы на все другие домены, такие как suip.biz без модификации. Вы можете использовать параметр —fakedomains как проиллюстрировано ниже
Можно использовать файлы, в которых прописать, к каким доменам обрывать подключения, или, наоборот, запретить доступ ко всем, кроме отдельных. Больше подобных примеров можно посмотреть здесь. Мне не хочется на этом останавливаться, т.к. какой-то выгоды от этого трудно получить, разве что заблокировать соц.сети от далёких с компьютерными технологиями людей (это легко обходиться).
Кража логинов и паролей с помощью DNS прокси
Это самая интересная часть, но и самая сложная. Кроме основ по использованию ОС Linux вы также должны владеть основами по администрированию веб-серверов, добавлению виртуальных хостов, а также уметь использовать дополнительные программы. На самом деле, чего-то очень трудного в этом нет, веб сервер уже даже может быть настроен (если вы заказали сконфигурированный Debian или Ubuntu). Как уже сказал, каких-то особых знаний здесь не требуется, это просто нужно уметь делать.
Алгоритм здесь следующий. Предположим, мы хотим узнать логин и пароль пользователя от сайта Яндекс (yandex.ru). Мы создаём виртуальный хост yandex.ru на нашем сервере. Там мы размещаем фальшивую страницу авторизации, которая сохранит для нас логин и пароль, введённый пользователем. Далее мы ждём, пока кто-нибудь подключиться к нашему серверу. Но… к нему никто не подключится, поскольку в реальных DNS записях указан не IP нашего сервера, а совершенно другого. Но вы ведь помните, что мы теперь контролируем все DNS запросы для конкретного человека (роутера)? Т.е. мы вместо отправки ему настоящего IP отправляем IP нашего фейкового yandex.ru и теперь уже ждём подключения с большими шансами.
Начнём по порядку. Предположим, что веб-сервер вы уже настроили или сами найдёте, как это сделать на Linux. Теперь добавляем виртуальный хост yandex.ru (я буду делать на примере BlackArch, но суть везде примерно одинаковая).
Начинаю с создания папки:
примерно следующего содержания
Действительно важными здесь являются строки (первая указывает физическое расположение папки с сайтом, вторая – имя, которое сервер будет сопоставлять с папкой на сайте):
Расположение логов вы можете настроить по своему желанию.
После этого перезапустите веб-сервер:
Проверить наш виртуальный хост мы пока не можем, поскольку нам нужно настроить DNSChef, чтобы он отправлял IP нашего подложного сервера вместо оригинального. Останавливаем DNSChef. И заново запускаем его примерно такой командой:
Например, конкретная команда в моём случае:
Я не собираюсь воровать чьи-либо учётные данные (по крайней мере сейчас), поэтому случайно выбранных «жертв» я отключаю от своего DNS, возвращаю им оригинальные записи и дальше продолжаю тренироваться в лабораторных условиях.
Итак, при попытке открыть yandex.ru я теперь наблюдаю:
Этого явно недостаточно для получения логина и пароля. Нам нужно задействовать что-то вроде Social-Engineer Toolkit (SET). К сожалению, именно в этой ситуации SET не способна помочь. Она делает клон только HTML страницы сайта, а картинки, скрипты и прочее подгружает с оригинального. В нашем случае, ничего с оригинального сайта загружено быть не может, поскольку обращения будут идти к нашему веб-серверу, на котором никаких картинок и других необходимых файлов нет. Т.е. страница будет открываться, но выглядеть она будет очень неестественно.
Нам способна помочь программа HTTrack. Давайте создадим каталог и в нём сделаем полный клон одной страницы сайта:
Теперь мы перенесём наш клон в директорию виртуального хоста:
При попытке открыть теперь всё будет выглядеть весьма достойно (хотя данные больше не обновляются и отсутствует реклама):
Нам нужно отредактировать файл, чтобы данные для входа отправлялись на наш сервер файлу, который для этого предназначен. Нужно базовое знание HTML разметки или хотя бы понимание, как работает отправка через формы, поскольку у каждого сайта нужно изменить свою строку, отличающуюся от других. Открываем файл
нужно заменить на строку вида
В моём случае (файл для сохранения паролей post.php) строка имеет вид:
На всё, что идёт после вопросительного знака можно не обращать внимание – в подобных случаях это не оказывает никакого влияния.
Ещё нам нужен сам файл post.php, который будет принимать и сохранять логины и пароли:
Пишем туда примерно такое:
Создадим файл и сделаем его владельцем пользователя http (в Arch Linux это веб-сервер):
Вводим свои учётные данные для проверки. Обратите внимание, что на страницах работает автозаполнение! Т.е. веб-браузер уверен, что страница загружена с истинного сервера.
Может быть это не очевидно, но домен yandex.ru и www.yandex.ru – это две большие разницы! На самом деле, физически файлы в yandex.ru и www.yandex.ru могут находиться на разных серверах. Но не это нам интересно. Нам интересно то, что подменяя IP в DNS записи для yandex.ru, после «аутентификации» мы можем сделать редирект на www.yandex.ru и пользователь попадёт именно на реальный сайт, а не на наш сервер (конечно, если мы и для этого домена не подменили ответ от DNS сервера).
Статья не может быть бесконечной, поэтому здесь она кончается, но ещё можно было бы поговорить о:
Простое изменение конфигурации DNS может иметь огромное значение
Знаете ли вы, что можно повысить производительность и безопасность работы в Интернете, выбрав альтернативный преобразователь DNS? Хорошей новостью является то, что это бесплатно, а настройка занимает около минуты вашего времени.
Что такое DNS преобразователь
Система доменных имен (DNS) может часто встречаться в разговоре сетевого администратора, но средний пользователь, вероятно, не знает или не заботится о том, что такое DNS или что он для него делает.
DNS – это «клей», который связывает доменные имена и IP-адреса вместе. Если у вас есть сервер и вы хотите, чтобы люди могли на него заходить, используя доменное имя, вы можете заплатить пошлину и зарегистрировать свое уникальное доменное имя (если оно доступно) у интернет-регистратора. Если у вас есть доменное имя, связанное с IP-адресом вашего сервера, тогда люди могут перейти на ваш сайт, используя ваше доменное имя вместо того, чтобы вводить IP-адрес. DNS-преобразователи помогают это сделать.
Сервер распознавателя DNS позволяет компьютеру (или лицу) искать доменное имя (например, webznam.ru) и находить IP-адрес компьютера, сервера или другого устройства, к которому он принадлежит (например, 193.109.246.72). Думайте о преобразователе DNS как телефонной книге для компьютеров.
Когда вы вводите доменное имя веб-сайта в веб-браузер, за кулисами работает сервер распознаватель DNS, на который указывает ваш компьютер, определяющий IP-адрес, к которому введёт доменное имя, чтобы ваш браузер мог получить всё, что предлагает сайт. DNS также используется для определения того, на какой почтовый сервер должно отправляться сообщение. У него много и других целей.
На что настроен ваш DNS преобразователь
Большинство домашних пользователей используют распознаватель DNS, который им назначает поставщик услуг Интернета (ISP). Обычно он назначается автоматически при настройке кабельного / DSL-модема или когда ваш беспроводной / проводной интернет-маршрутизатор автоматически подключается к DHCP-серверу вашего интернет-провайдера и получает IP-адрес для использования вашей сетью.
Обычно вы можете узнать, какой DNS-распознаватель вам назначен, перейдя на страницу подключения «WAN» вашего маршрутизатора и в разделе «DNS-серверы». Обычно их два, основной и альтернативный. Эти DNS-серверы могут быть размещены вашим провайдером или нет.
Вы также можете увидеть, какой DNS-сервер используется вашим компьютером, открыв командную строку, набрав nslookup и нажав клавишу Enter. Вы должны увидеть имя и IP-адрес «DNS-сервера по умолчанию».
Зачем использовать альтернативный DNS
Ваш интернет-провайдер может отлично справиться с настройкой DNS-серверов, и они могут быть совершенно безопасными или нет. У них могут быть тонны ресурсов и отличное оборудование на их преобразователях DNS, так что вы получите сверхбыстрое время отклика, а может и нет.
Возможно, вы захотите переключиться с серверов DNS, предоставляемых интернет-провайдером, на альтернативу, по нескольким причинам:
Причина №1 – альтернативные DNS могут повысить скорость просмотра веб-страниц
Некоторые альтернативные поставщики DNS утверждают, что использование их общедоступных DNS-серверов может обеспечить более быстрый просмотр веб-страниц конечными пользователями за счет уменьшения задержки поиска DNS. То, что вы заметите, зависит от вашего личного опыта. Если всё станет медленнее, вы всегда можете вернуться к своему старому назначенному провайдером DNS.
Причина №2 – альтернативные DNS могут повысить безопасность
Некоторые альтернативные провайдеры DNS утверждают, что их решения предлагают несколько преимуществ безопасности, таких как фильтрация вредоносных программ, фишинговых и мошеннических сайтов, а также снижение риска атак отравления кеша DNS.
Причина №3 – некоторые DNS предлагают автоматическую фильтрацию содержимого
Хотите защитить ваших детей от доступа к «несемейному» контенту? Вы можете выбрать поставщика DNS, который выполняет фильтрацию содержимого. Например, Яндекс.DNS предлагает серверы DNS, которые отфильтровывают нежелательный контент.
Это не означает, что ваши дети не смогут просто ввести IP-адрес для неподходящего сайта и получить к нему доступ таким образом, но это добавит значительную преграду на пути поиска зрелого веб-контента.
Как переключите свой DNS Resolver
Лучший способ переключения DNS – настройка вашего маршрутизатора, так что вам нужно изменить его только в одном месте. После того, как вы измените его на своем маршрутизаторе, все клиенты в вашей сети (при условии, что вы используете DHCP для автоматического назначения IP-адресов клиентским устройствам) должны автоматически подключаться к новым DNS-серверам.
Обратитесь к справочному руководству вашего роутера за подробной информацией о том, как и где изменить записи вашего DNS-сервера.
Прежде чем вносить какие-либо изменения, вам следует проконсультироваться с поставщиком услуг Интернета и производителем маршрутизатора для получения конкретных инструкций для вашей ситуации. Вы также должны записать текущие настройки или сделать снимок экрана на странице настроек, прежде чем вносить какие-либо изменения, в случае, если изменение не сработает.
Альтернативные DNS-провайдеры
Вот несколько известных альтернативных провайдеров DNS, которые стоит рассмотреть. Это текущие IP-адреса на момент публикации этой статьи. Вам следует проверить у поставщика DNS, обновлены ли IP-адреса, прежде чем вносить изменения.
Примечание относительно альтернативных DNS
Ни одна из этих услуг не сможет отфильтровать все возможные вредоносные программы, фишинговые сайты и контент для взрослых, но они должны, по крайней мере, сократить число этих типов сайтов. Если вы не чувствуете, что одна служба успешно справляется с фильтрацией, вы всегда можете обратиться к другому провайдеру, чтобы узнать, лучше ли он.
Подмена DNS сервера. Будьте осторожны
Хочу поделиться с вами случаем, который недавно со мной произошел. Надеюсь, кого-то эта статья сможет уберечь от потери приватных данных и, даже, денег.
Завязка
Началось все с того, что один из моих знакомых, посетовал, что мобильную версию ВКонтакте закрыли. Я очень удивился, потому как не видел для этого никак объективных причин, и поспешил проверить, так ли это. Переход на m.vk.com развеял мои сомнения — все работало. В ходе расспроса знакомого, выяснилось, что у него m.vk.com сообщает о том, что весь сервис переехал на мобильное приложение и предлагает это приложение скачать. Очевидно, это шалят вирусы, подумал я, и попросил знакомого дать взглянуть на его машину.
Первым делом, я самолично взглянул на этот фейк, все выглядело очень правдоподобно: было хорошо сверстано и URL был именно m.vk.com. Так что, можно было действительно подумать, что мобильная версия ВК закрылась.
Ну что это может быть? Конечно же, hosts! Открывая его, я уже был готов спасти знакомого от страшной напасти, но… в файле не оказалось ничего, кроме стандартных комментариев. Так же не было и другого, скрытого hosts, как это иногда бывает. Тщательное изучение запущенных процессов не дало ничего интересного, ровным счетом как и гуглирование предлагаемого для скачивания приложения. Я призадумался.
Мои мыслительные процессы прервал знакомый, сообщив, что та же самая история происходит и при попытке зайти в ВК с телефона. Это была зацепка. Телефон был подключен к домашней wi-fi точке, к той же, что и проблемный компьютер. Попросив знакомого зайти в ВК с мобильного интернета, отключившись от wi-fi, я отмел вариант заражения телефона — открывалась настоящая версия. Вывод был только один — заражен роутер.
Всему виной безответственность
Перейдя на 192.168.1.1, я попросил знакомого логин и пароль от роутера и услышал в ответ… admin:admin! Что?! Как можно было не сменить пароль на роутере раздающем wi-fi?! Поразительная безответственность! Знакомый пожал плечами.
Проверив DNS я обнаружил следующее:
Второй адрес мне хорошо известен, это DNS Google, а вот первый я раньше не встречал. Он был даже не из нашего региона.
Ничего, кроме как перейти по этому адресу, в голову не пришло. Предо мной предстал фейк QIWI, при чем, опять же, отменного качества. (Кстати, он до сих пор там).
Я удалил этот адрес из DNS, заменив его стандартным для нашего региона, сменил пароль на роутере и перезапустил его. После этого, все заработало как положено. Выслушав благодарности знакомого, я решил заняться фейком поплотнее.
Вот это поворот
2ip.ru сказал, что адрес украинский и показал из какого он диапазона. Диапазон был небольшим, поэтому логично было бы его просканировать. Сказано-сделано. Полчаса возни и был обнаружен другой интересный адрес. Вот он: 176.102.38.39.
Сейчас там расположена ненормативная лексика, но когда я его нашел, там была форма с названием «Fake admin panel» и поля для логина и пароля. Чем черт не шутит? Подумал я, и ввел admin:admin. Как вы думаете, что произошло?
Я оказался в админке, с логами всех входов в фейки мошенников! Поразительно, они попались на своем же методе заражения.
Признаю, я сначала подумал, что это ханипот, и попробовал войти в один из кошельков QIWI из лога. Данные были верными, на счету кошелька было около 1000 рублей. Значит, это не ханипот. Я вышел из кошелька, и начал изучать админку.
В тылу врага
Неплохие результаты (не считая btc), да?
Отдельно нужно отметить лог QIWI, судя по всему, ради него это все и было сделано. В логе QIWI отображался не только логин, пароль и IP, но и баланс на момент входа, а так же включено ли SMS подтверждение для платежей (что поразительно, в большей части аккаунтов оно было выключено). Такой лог, говорит о том, что после авторизации через фейк, человека авторизировало на реальном QIWI, и бедняга даже не подозревал о подвохе.
В правом верхнем углу отображается количество записей, которые еще не убраны в архив (замечу, что эти записи пополнялись очень быстро).
А внизу (на картинке не видно), были кнопочки для удобного экспорта не архивных логов в txt файл и кнопочка для восстановления всех записей из архива.
Ощущая, что мое время на исходе, я восстановил все записи из архива QIWI и скачал их себе. Хотел проделать тоже самое с остальными сервисами, но не смог. Потому как при следующем запросе я увидел ошибку 403, а потом и то, что там есть сейчас.
Результаты
Полученный файл я очистил от одинаковых записей и проверил нет ли там кошелька моего знакомого. Знакомому повезло, его кошелек в руки мошенников не попал.
Вот этот файл (естественно без паролей), можете проверить, нет ли там вашего кошелька.
Быть осторожен, хаброжитель, зло не дремлет!
Как хакеры подменяют DNS-запросы с помощью «отравления» кэша
Подмена сервера доменных имен (DNS) — это кибератака, с помощью которой злоумышленник направляет трафик жертвы на вредоносный сайт (вместо легитимного IP-адреса). Злоумышленники используют метод «отравления» кэша DNS для перехвата интернет-трафика и кражи учетных данных или конфиденциальной информации. Отравление кэша DNS и подмена DNS — тождественные понятия, часто используемые как синонимы. Хакер хочет обманом заставить пользователей ввести личные данные на небезопасном сайте. Как ему этого добиться? С помощью отравления кэша DNS. Для этого хакер подменяет или заменяет данные DNS для определенного сайта, а затем перенаправляет жертву на сервер злоумышленника вместо легитимного сервера. Таким образом хакер добивается своей цели, ведь перед ним открываются широкие возможности: он может совершить фишинговую атаку, украсть данные или даже внедрить в систему жертвы вредоносную программу.
Что такое подмена DNS и отравление кэша?
Прежде чем начать разговор об отравлении кэша DNS, сначала давайте вспомним, что такое DNS и кэширование DNS. DNS — это всемирный каталог IP-адресов и доменных имен. Можно сказать, что это своеобразный телефонный справочник интернета. DNS переводит удобные для пользователей адреса, такие как varonis.com, в IP-адреса, например 92.168.1.169, которые используются компьютерами для работы в сети. Кэширование DNS — это система хранения адресов на DNS-серверах по всему миру. Для ускорения обработки ваших DNS-запросов разработчики создали распределенную систему DNS. Каждый сервер хранит список известных ему DNS-записей, который называется кэшем. Если на ближайшем к вам DNS-сервере нужный IP-адрес отсутствует, он запрашивает вышестоящие DNS-серверы до тех пор, пока адрес веб-сайта, на который вы пытаетесь попасть, не будет найден. После этого ваш DNS-сервер сохраняет эту новую запись в вашем кэше, чтобы в следующий раз получить ответ быстрее.
Примеры и последствия отравления кэша DNS
Концепция DNS не приспособлена к специфике современного интернета. Конечно, со временем DNS был усовершенствован, однако сейчас по-прежнему достаточно одного неправильно настроенного DNS-сервера, чтобы миллионы пользователей ощутили на себе последствия. Пример — атака на WikiLeaks, когда злоумышленники с помощью отравления кэша DNS перехватывали трафик, перенаправляя его на собственный клон сайта. Целью этой атаки было увести трафик с WikiLeaks, и она достигла определенного успеха. Отравление кэша DNS весьма непросто обнаружить обычным пользователям. В настоящее время система DNS построена на доверии, и это является ее слабым местом. Люди чересчур сильно доверяют DNS и никогда не проверяют, соответствует ли адрес в их браузере тому, что им в действительности нужно. Злоумышленники же пользуются этой беспечностью и невнимательностью для кражи учетных данных и другой важной информации.
Как работает отравление кэша DNS?
Отравление кэша DNS означает, что на ближайшем к вам DNS-сервере содержится запись, отправляющая вас по неверному адресу, который, как правило, контролируется злоумышленником. Существует ряд методов, которые используют злоумышленники для отравления кэша DNS.
Перехват трафика локальной сети с помощью подмены протокола ARP
Вы удивитесь, насколько уязвимой может быть локальная сеть. Многие администраторы могут пребывать в уверенности, что перекрыли все возможные доступы, но, как известно, дьявол кроется в деталях.
Одна из распространенных проблем — сотрудники, работающие удаленно. Можно ли быть уверенными, что их сеть Wi-Fi защищена? Хакеры могут взломать слабый пароль от сети Wi-Fi за считанные часы.
Еще одна проблема — открытые порты Ethernet, доступные всем желающим в коридорах, вестибюлях и других общественных местах. Просто представьте: посетитель может подключить к своему устройству кабель Ethernet, предназначенный для дисплея в вестибюле. Как хакер может использовать доступ к вашей локальной сети, полученный одним из перечисленных выше способов? Во-первых, он сможет создать фишинговую страницу для сбора учетных данных и другой ценной информации. Затем он может разместить этот сайт либо в локальной сети, либо на удаленном сервере, и для этого ему потребуется всего-навсего одна строка кода на Python. После этого хакер может начать следить за сетью с помощью специальных инструментов, таких как Betterrcap. На этом этапе хакер изучает сеть и производит рекогносцировку, но трафик все еще проходит через маршрутизатор. Затем злоумышленник может совершить подмену протокола разрешения адресов (ARP), чтобы изнутри изменить структуру сети. Протокол ARP используется сетевыми устройствами для связывания MAC-адреса устройства с IP-адресом в сети. Bettercap будет отправлять сообщения, заставляя все устройства в сети считать компьютер хакера маршрутизатором. Благодаря этой уловке хакер сможет перехватывать весь сетевой трафик, проходящий через маршрутизатор. Достигнув перенаправления трафика, злоумышленник может запустить модуль Bettercap для подмены DNS. Этот модуль будет искать любые запросы к целевому домену и отправлять жертве ложные ответы. Ложный ответ содержит IP-адрес компьютера злоумышленника, переправляя все запросы к целевому сайту на фишинговую страницу, созданную хакером. Теперь хакер видит трафик, предназначенный для других устройств в сети, собирает вводимые учетные данные и внедряет вредоносные загрузки.
Если же хакер не может получить доступ к локальной сети, он прибегнет к одной из следующих атак.
Подделка ответов с помощью атаки «дней рождения»
DNS не проверяет подлинность ответов на рекурсивные запросы, поэтому в кэше сохраняется первый ответ. Злоумышленники используют так называемый «парадокс дней рождения», чтобы попытаться предугадать и отправить поддельный ответ запрашивающей стороне. Для предугадывания атака «дней рождения» использует математику и теорию вероятностей. В этом случае злоумышленник пытается угадать идентификатор транзакции вашего DNS-запроса, и в случае успеха поддельная запись DNS попадает к вам раньше легитимного ответа. Успех атаки «дней рождения» не гарантирован, но в конце концов злоумышленник сможет подложить в кэш поддельный ответ. После того как атака увенчается успехом, хакер сможет видеть трафик от поддельной записи DNS до окончания жизненного цикла (TTL) записи DNS.
Эксплойт Каминского
Эксплойт Каминского является разновидностью атаки «дней рождения». Обнаруживший эту уязвимость Дэн Каминский впервые представил ее на конференции BlackHat в 2008 году. Суть эксплойта заключается в том, что сначала хакер отправляет DNS-резолверу запрос для несуществующего домена, например fake.varonis.com. Получив такой запрос, DNS-резолвер перенаправляет его на авторитетный сервер имен, чтобы получить IP-адрес ложного субдомена. На этом этапе злоумышленник перегружает DNS-резолвер огромным количеством поддельных ответов в надежде, что один из этих поддельных ответов совпадет с идентификатором транзакции исходного запроса. В случае успеха хакер подменяет в кэше DNS-сервера IP-адрес, например, как в нашем примере с varonis.com. Резолвер продолжит отвечать всем запрашивающим, что поддельный IP-адрес varonis.com является настоящим, пока не истечет жизненный цикл записи DNS.
Как обнаружить отравление кэша DNS?
Как обнаружить, что кэш DNS отравлен? Для этого нужно следить за вашими DNS-серверами в поисках индикаторов возможной атаки. Однако ни у кого нет вычислительных мощностей, чтобы справиться с такими объемами DNS-запросов. Лучшим решением будет применить к вашему мониторингу DNS аналитику безопасности данных. Это позволит отличить нормальное поведение DNS от атак злоумышленников.
• Внезапное увеличение активности DNS из одного источника в отношении одного домена свидетельствует о потенциальной атаке «дней рождения».
• Увеличение активности DNS из одного источника, который запрашивает у вашего DNS-сервера многочисленные доменные имена без рекурсии, свидетельствует о попытке подобрать запись для последующего отравления.
Помимо мониторинга DNS необходимо также вести мониторинг событий Active Directory и поведения файловой системы, чтобы вовремя обнаружить аномальную активность. А еще лучше будет использовать аналитику для поиска взаимосвязи между всеми тремя векторами. Это позволит получить ценную контекстную информацию для усиления стратегии кибербезопасности.
Способы защиты от отравления кэша DNS
И, наконец, используйте зашифрованные DNS-запросы. Модули безопасности службы доменных имен (DNSSEC) — это протокол DNS, который использует подписанные DNS-запросы для предотвращения их подмены. При использовании DNSSEC, DNS-резолверу необходимо проверить подпись на уполномоченном DNS-сервере, что замедляет весь процесс. Вследствие этого DNSSEC пока не получил широкого распространения.
DNS поверх HTTPS (DoH) и DNS поверх TLS (DoT) являются конкурирующими спецификациями для следующей версии DNS и, в отличие от DNSSEC, предназначены для обеспечения безопасности DNS-запросов без ущерба скорости. Тем не менее эти решения не идеальны, поскольку могут замедлить или полностью сделать невозможным локальный мониторинг и анализ DNS. Важно отметить, что DoH и DoT могут обходить родительский контроль и другие блокировки на уровне DNS, установленные в сети. Несмотря на это, Cloudflare, Quad9 и Google имеют общедоступные DNS-серверы с поддержкой DoT. Многие новые клиенты поддерживают эти современные стандарты, хотя их поддержка и отключена по умолчанию. Вы можете найти более подробную информацию об этом в нашем посте по безопасности DNS.
Подмена DNS заменяет легитимный IP-адрес сайта на IP-адрес компьютера хакера. Обнаружить подмену очень непросто, ведь с точки зрения конечного пользователя он вводит в браузере абсолютно нормальный адрес сайта. Несмотря на это остановить подобную атаку можно. Риски снизить можно, используя мониторинг DNS, например, от Varonis, а также стандарт шифрования DNS поверх TLS (DoT).
Отравление кэша: часто задаваемые вопросы
Ознакомьтесь с распространенными вопросами о подмене DNS и ответами на них.
Отравление кэша DNS и подмена кэша DNS (спуфинг) — это одно и то же?
Да, отравлением кэша и подменой кэша называют один и тот же тип кибератаки.
Как работает отравление кэша DNS?
Отравление кэша обманывает ваш DNS-сервер, сохраняя на нём поддельную запись DNS. После этого трафик перенаправляется на сервер, выбранный хакером, и там осуществляется кража данных.
Какие меры безопасности можно применять для защиты от отравления кэша DNS?
Владельцы сайта могут осуществлять мониторинг и аналитику для выявления подмены DNS. Кроме того, можно обновить DNS-серверы, чтобы использовать модули безопасности службы доменных имен (DNSSEC) или другую систему шифрования, например DNS поверх HTTPS или DNS поверх TLS. Повсеместное использование полного сквозного шифрования, такого как HTTPS, также может предотвратить подмену DNS. Брокеры безопасного облачного доступа (CASB) чрезвычайно полезны для этих целей. Конечные пользователи могут сбросить потенциально подделанный кэш DNS, периодически очищая кэш DNS своего браузера, или после подключения к небезопасной или общедоступной сети. Использование VPN может защитить от подмены DNS в локальной сети. Избегайте подозрительных ссылок. Это поможет избежать риска заражения кэша вашего браузера.
Как проверить, подверглись ли вы атаке с отравлением кэша?
После того как кэш DNS был отравлен, это сложно обнаружить. Куда лучшая тактика — осуществлять мониторинг ваших данных и защищать систему от вредоносных программ, чтобы уберечься от утечек данных в следствие отравления кэша DNS. Посетите нашу интерактивную лабораторию кибератак, чтобы увидеть, как мы используем мониторинг DNS для обнаружения реальных угроз кибербезопасности.
Как работает связь DNS?
Как злоумышленники отравляют кэш DNS?
Способов отравления кэша много, и вот самые распространенные из них: принудить жертву нажать на вредоносную ссылку, использующую встроенный код для изменения кэша DNS в браузере пользователя; взлом локального DNS-сервера с помощью «атаки через посредника». Вышеупомянутая «атака через посредника» использует подмену протокола разрешения адресов (ARP) для перенаправления DNS-запросов на DNS-сервер, контролируемый злоумышленником.
Что такое отравление кэша DNS?
Отравление кэша DNS — это действия по замене записи в базе данных DNS на IP-адрес, ведущий на вредоносный сервер, контролируемый злоумышленником.
Как выполняется подмена DNS?
Хакер выполняет атаку с подменой DNS, получая доступ и изменяя кэш DNS или перенаправляя запросы DNS на свой собственный DNS-сервер.