Что такое DNS-атака
Обновлено: 21.11.2024
Знаете ли вы, что такое DNS-атаки и защищена ли ваша сеть от них?
DNS был создан в первую очередь для того, чтобы правильно и эффективно отвечать на запросы, а не подвергать сомнению их намерения. В результате у DNS есть реальные уязвимости и потенциал для кибератак.
Атака на систему доменных имен (DNS) — это атака, при которой злоумышленник либо пытается скомпрометировать DNS сети, либо использует присущие ей атрибуты для проведения более широкой атаки. Хорошо организованная DNS-атака может поставить организацию на колени.
В этой статье мы рассмотрим четыре основных типа DNS-атак. Далее будут обсуждаться основные шаги, которые вы можете предпринять для предотвращения DNS-атак. И, наконец, вкратце рассказывается, как BlueCat может помочь.
Основные типы атак DNS
Атака DNS нацелена на инфраструктуру DNS. Атаки могут быть адаптированы либо к рекурсивным, либо к авторитетным серверам. Существует четыре основных типа атак с использованием DNS.
DoS-атаки, DDoS-атаки и атаки с усилением DNS
Атаки типа "отказ в обслуживании" (DoS) и распределенные атаки типа "отказ в обслуживании" (DDoS) — это две формы одного и того же. Это то, о чем думает большинство людей, когда думают об атаке DNS. В обоих случаях злоумышленники заваливают интернет-серверы таким количеством запросов, что просто не могут ответить на все, и в результате происходит сбой системы.
DoS-атаки
Простая DoS-атака использует один компьютер и одно подключение к Интернету для переполнения удаленного сервера. Они не очень эффективны для подавления современных высокопроизводительных систем.
DDoS-атаки
При DDoS-атаке несколько компьютеров и интернет-соединений нацелены на сайт.
Часто в результате DDoS-атак зараженные компьютеры добавляются в ботнет, выполняющий вредоносные запросы в фоновом режиме. Злоумышленники могут использовать возможности устройств со всего мира для одновременного запроса целевой сети.
Есть также три подтипа DDoS-атак:
- Протокольные атаки. Эта атака наносит ущерб фактическим ресурсам сервера или другому сетевому оборудованию, например брандмауэрам и балансировщикам нагрузки.
- Атаки на прикладном уровне. Чтобы вывести из строя веб-сервер, злоумышленник отправляет запросы, которые кажутся безобидными, но на самом деле используют уязвимости цели.
- Атаки флуда. Целью флудов является сделать сервер недоступным для реального трафика путем «затопления» ресурсов целевого сервера.
В феврале 2020 года сервис Amazon AWS Shield предотвратил крупнейшую в истории DDoS-атаку (2,3 Тбит/с), которая была проведена с использованием взломанных веб-серверов с протоколом облегченного доступа к каталогам без установления соединения.
Атаки с усилением DNS
Кроме того, атака с усилением DNS — это тип DDoS-атаки, при которой злоумышленники используют общедоступные открытые DNS-серверы, чтобы залить цель ответным DNS-трафиком. Злоумышленник отправляет запрос поиска DNS на открытый DNS-сервер с поддельным исходным адресом, который является адресом цели. Когда DNS-сервер отправляет ответ на запись DNS, вместо этого он отправляется целевому объекту.
Вот короткое видео, в котором директор по стратегии BlueCat Эндрю Верткин описывает, как DDoS-атаки превращают вашу сеть в оружие:
Захват DNS
Существует три типа перехвата DNS:
- Злоумышленники могут скомпрометировать учетную запись регистратора домена и изменить ваш сервер имен DNS на тот, который они контролируют (см. иллюстрацию).
- Злоумышленники могут изменить запись A для IP-адреса вашего домена, чтобы она указывала на их адрес.
- Злоумышленники могут скомпрометировать маршрутизатор организации и изменить DNS-сервер, который автоматически загружается на каждое устройство, когда пользователи входят в вашу сеть.
В 2019 году эксперты по безопасности обнаружили Sea Turtle – спонсируемую государством кампанию по перехвату DNS, в ходе которой были манипулированы и фальсифицированы записи DNS не менее 40 организаций в 13 странах.
DNS-туннелирование
Туннелирование DNS передает информацию через протокол DNS, который обычно разрешает сетевые адреса.
Обычные DNS-запросы содержат только информацию, необходимую для связи между клиентом и сервером. Туннелирование DNS вставляет в этот путь дополнительную строку данных. Он устанавливает форму связи, которая обходит большинство фильтров, брандмауэров и программного обеспечения для перехвата пакетов.
Поэтому его особенно трудно обнаружить и отследить его происхождение.
Туннелирование DNS может установить командование и контроль. Или он может эксфильтровать данные. Информация часто разбивается на более мелкие части, перемещается по DNS и собирается на другом конце.
С 2016 года связанная с Ираном группа OilRig использует туннелирование DNS для связи между зараженными хостами и серверами управления и контроля.
Заражение DNS и заражение кеша
Отравление DNS (также известное как спуфинг DNS) и его родственник, отравление кэша DNS, используют бреши в безопасности протокола DNS для перенаправления интернет-трафика на вредоносные веб-сайты. Их иногда называют атаками «человек посередине».
Когда ваш браузер выходит в Интернет, он сначала запрашивает локальный DNS-сервер, чтобы найти IP-адрес для имени веб-сайта. Локальный DNS-сервер запросит адрес у корневых серверов, которым принадлежит этот домен, а затем у уполномоченного сервера имен этого домена.
Отравление DNS происходит, когда злоумышленник вмешивается в этот процесс и предоставляет неверный ответ. Как только браузер обманом заставит его думать, что он получил правильный ответ на свой запрос, злоумышленник может перенаправить трафик на любой поддельный веб-сайт, который ему захочется.
При отравлении кеша DNS, когда злоумышленник перехватывает и «отвечает» на запрос DNS, преобразователь DNS сохраняет этот ответ в кеше для будущего использования. (Большинство распознавателей DNS являются кеширующими распознавателями.) В этом случае это усугубляет атаку, продолжая предоставлять этот неверный ответ.
Продолжительность хранения этих записей DNS в кэше зависит от времени жизни (TTL). Это параметр DNS-сервера, который указывает кэшу, как долго хранить записи DNS перед обновлением поиска законного сервера.
В ноябре 2020 г. исследователи обнаружили новый способ отравления кеша, который называется SAD DNS (сокращение от Side-channel AttackeD DNS). Этот метод позволяет злоумышленнику использовать побочный канал для внедрения вредоносной записи DNS в кэш DNS.
Как предотвратить, обнаружить и смягчить DNS-атаку
Хотя DNS исторически считалась наивной пешкой, она также может быть активным элементом хорошей стратегии глубокоэшелонированной защиты. Компания Gartner вместе с известными правительственными учреждениями США, такими как АНБ, наконец, недавно признала, что безопасность DNS имеет решающее значение для повышения общей защиты вашей сети.
Сейчас существует концепция защитной DNS, описывающая DNS как критически важную для защиты от сетевых угроз. Однако многие поставщики (например, BlueCat) годами помогают организациям использовать для этого DNS.
Вот несколько основных мер защиты:
Знайте всю архитектуру DNS. Во-первых, для обеспечения безопасности сети требуется знание всего DNS-имущества вашего предприятия. Зачастую сетевым командам не хватает полного контроля из-за беспорядка в разрозненных DNS-серверах, бесхозных зонах или теневых ИТ-отделах.
Журнал и мониторинг DNS-запросов и данных ответов. Регистрация и мониторинг исходящих и входящих запросов — это первый шаг к обнаружению аномалий. Кроме того, данные ваших ответов предоставляют контекстную информацию, позволяющую провести более тщательный криминалистический анализ.
Защитите свои рекурсивные DNS-серверы. Защитите рекурсивные серверы от нежелательного доступа и несанкционированного доступа с помощью DNSSEC, контроля доступа и других усовершенствований архитектуры.
Ужесточите доступ администратора к вашему DNS. Включите многофакторную аутентификацию в своей учетной записи регистратора домена и используйте службу блокировки регистратора, чтобы запросить ваше разрешение перед изменением записей DNS.
Отразите DNS-атаки с помощью BlueCat
BlueCat поможет предотвратить DNS-атаки. Платформа BlueCat регистрирует как DNS-запросы, так и ответы вместе. В результате вы получите полное представление об активности DNS в вашей сети.
Вы также можете отправлять свои журналы DNS в средство управления сетевой информацией и событиями безопасности (SIEM) или Splunk и устанавливать оповещения об аномалиях.
Используя данные запросов и ответов, администраторы также могут использовать платформу BlueCat для создания точных правил на основе политик. Кроме того, вы можете прикрепить оповещения политики к вашим зарегистрированным данным запроса. Политики могут включать мониторинг или блокировку доменов с плохой репутацией. Вы также можете интегрировать аналитику безопасности из ленты угроз BlueCat, чтобы блокировать последние угрозы.
Узнайте больше о том, как функции сетевой безопасности BlueCat могут превратить ваш DNS из вектора атаки в линию защиты.
Сертификаты могут помочь специалистам по безопасности подтвердить свои базовые знания в области информационной безопасности. Рассмотрите возможность добавления этих лучших облачных средств безопасности .
Изучите три основные проблемы безопасности при работе с несколькими арендаторами и способы их устранения, в том числе недостаточную видимость и превышение привилегий.
Если ваша компания использует поставщика облачных баз данных, очень важно обеспечить максимальную безопасность. Ознакомьтесь с функциями безопасности .
При распространении удаленной работы, облачных приложений и подключения к Интернету предприятия отказываются от глобальной сети, чтобы сэкономить деньги.
DevOps, NetOps и NetSecOps. о боже!У этих ИТ-концепций есть свои отличия, но, в конце концов, они — одна семья. .
Cradlepoint и Extreme Networks объединят маршрутизаторы 5G первой компании с сетевой структурой второй для создания беспроводной глобальной сети 5G.
В связи с тем, что озабоченность по поводу климата растет с каждым днем, технологические лидеры играют решающую роль в реализации инициатив в области устойчивого развития. Вот совет.
ИТ-руководители начали год с ветерком в спину, опираясь на инвестиции, сделанные во время пандемии, и вновь сосредоточившись на .
Определения метавселенной различаются, как и прогнозы относительно того, когда она появится. Но умные ИТ-директора должны ознакомиться с .
ИТ-администраторам, рассматривающим возможность перехода на Windows 11, следует узнать, как функции версии Enterprise могут помочь их .
Последняя сборка для разработчиков Windows 11 позволяет открывать несколько папок в приложении для управления файлами. Предполагается, что эта функция .
Администраторам настольных компьютеров следует обратить внимание на собственные функции безопасности и архитектуру Windows 10, чтобы установить базовый уровень настольных компьютеров.
Преодолейте сбои AWS, научившись создавать многорегиональную архитектуру, обеспечивающую отказоустойчивость в случае аварии.
Чтобы добиться высокой доступности и отказоустойчивости в AWS, ИТ-администраторы должны сначала понять различия между двумя моделями.
Amazon ECS и EKS похожи, но их различий достаточно, чтобы выделить их для пользователей AWS. Узнайте, что лучше всего подходит для вашего .
Оператор спутниковой связи получит дополнительно 170 млн долларов США от ведущей телекоммуникационной компании США за счет ускоренной очистки, а стратегическое приобретение — .
Президент Байден сказал, что американские компании, эксплуатирующие критически важную инфраструктуру, должны немедленно укрепить свою защиту в .
В связи с предстоящим отключением телефонных линий ISDN и PSTN в 2025 году британский оператор представляет специальное предложение для широкополосного доступа по оптоволоконному кабелю.
Атака на DNS — это кибератака, при которой злоумышленник использует уязвимости в системе доменных имен. Это серьезная проблема с точки зрения кибербезопасности, поскольку система DNS является важной частью интернет-инфраструктуры и в то же время имеет множество уязвимостей.
Существует множество различных способов атаки на DNS. Атаки отражения DNS, DoS, DDoS и отравление DNS — это лишь некоторые из типов атак, которым подвержен DNS.
В этой статье мы обсудим DNS-атаки и способы реагирования на них.
Что такое DNS?
Прежде чем мы углубимся в суть того, как происходят атаки, давайте рассмотрим некоторые основы работы DNS или системы доменных имен.
Для простоты считайте DNS огромной телефонной книгой, в которой указаны IP-адреса с назначенными доменными именами. Ваш браузер не «понимает» доменные имена — для получения веб-сайта ему нужен IP-адрес сервера, на котором он размещен. Таким образом, когда вы вводите доменное имя, эта телефонная книга DNS находит IP-адрес для подключения.
Кэш DNS
Процесс поиска был бы не очень эффективным, если бы вам приходилось просматривать всю телефонную книгу каждый раз, когда вы звоните маме и папе. Точно так же ваш компьютер не всегда должен связываться с удаленным DNS-сервером каждый раз, когда ему нужен IP-адрес — для этого он полагается на кеш DNS, который представляет собой историческую информацию поиска DNS, хранящуюся в вашем браузере, ОС, маршрутизаторе и на других этапах процесса поиска DNS.
Если вы пытаетесь посетить сайт, назначенный IP-адрес которого не известен вашему ближайшему преобразователю DNS, он будет запрашивать другие DNS-серверы, пока не найдет IP-адрес. Затем DNS-сервер узнает об этом новом сайте и объявляет назначенный IP-адрес доменному имени, которое в дальнейшем используется другими DNS-серверами.
DNS-атака
Когда хакеры используют уязвимости в системе доменных имен (DNS), мы называем это DNS-атакой.
Некоторыми из наиболее распространенных типов DNS-атак являются DDoS-атака, атака с повторной привязкой DNS, отравление кеша, DoS-атака с распределенным отражением, туннелирование DNS, перехват DNS, базовая атака NXDOMAIN, атака с фантомным доменом, атака со случайным поддоменом, TCP SYN Floods. и атака блокировки домена. Мы рассмотрим каждый из них в этой статье.
DoS- и DDoS-атаки
Атака распределенного отказа в обслуживании (DDoS) — это враждебная попытка прервать обычный трафик целевой сети или сервера путем бомбардировки сети или окружающей ее инфраструктуры интернет-трафиком. Хотя DDoS не обязательно является DNS-атакой, система DNS является популярной мишенью.
Атаки DDoS достигают эффективности за счет использования нескольких скомпрометированных компьютерных систем в качестве источников атакующего трафика. Обычно злоумышленники используют ботов, чтобы бомбардировать цель трафиком. Случай, когда используется только один бот, известен как атака типа «отказ в обслуживании» (DoS) и в основном локализован или имеет минимальный эффект. С другой стороны, DDoS имеет более широкое влияние и потребует больше ресурсов.
Используемые машины могут включать компьютеры и другие сетевые ресурсы, например устройства Интернета вещей (IoT). Чтобы лучше понять, как работает DDoS-атака, представьте, что шоссе искусственно забито автомобилями, что мешает обычному движению и вызывает пробки.
Существует много типов DDoS-атак, направленных на DNS, некоторые из которых мы обсудим ниже.
Одной из крупнейших DDoS-атак была атака Dyn DNS. Dyn — это компания, занимающаяся управлением производительностью Интернета (IPM), — новаторский поставщик услуг DNS. Атака Dyn произошла 21 октября 2016 года. Она затронула большую часть Интернета в США и Европе. Источником атаки был ботнет Mirai, состоящий из устройств Интернета вещей, таких как принтеры, IP-камеры и цифровые видеомагнитофоны.
Атака NXDOMAIN
Атака NXDOMAIN — это вариант DDoS, при котором DNS-сервер переполняется запросами к несуществующим доменным именам, заполняет кэш авторитетного DNS-сервера и полностью блокирует легитимные DNS-запросы.
Теперь представьте, что злоумышленник управляет ботнетом, насчитывающим тысячи пользователей. Каждый из них отправляет запрос на несуществующий домен. Это может довольно быстро засорить кеш DNS-сервера, лишив обслуживания пользователей, желающих посетить законный сайт.
В последнее время некоторые поставщики услуг Интернета (ISP) начали использовать эту ситуацию во вред. Вместо того, чтобы возвращать сообщение об ошибке, они направляют эти запросы на серверы со встроенной рекламой, таким образом извлекая выгоду из недействительных запросов.
Фантомная атака на домен
Атака на фантомный домен – это тип DoS-атаки, направленной на авторитетный сервер имен. Это делается путем настройки группы DNS-серверов, которые не отвечают на DNS-запросы или делают это очень медленно, прерывая связь.
Если DNS-серверу не известен IP-адрес, он будет искать этот адрес на других подключенных DNS-серверах — это называется рекурсивным DNS. Атаки на фантомные домены — это метод перехвата этого процесса поиска. Это тратит ресурсы сервера на неработающие или неэффективные поиски.
Когда ресурсы полностью израсходованы, рекурсивный DNS-сервер может игнорировать законные запросы и продолжать фокусироваться на не отвечающих серверах, вызывая серьезные проблемы с производительностью.
Случайная атака на субдомен
Атака со случайным поддоменом очень похожа на атаку NXDOMAIN, разница в том, что вместо того, чтобы запрашивать у DNS несуществующий домен, эта атака запрашивает несуществующий поддомен.
Давайте рассмотрим такой сценарий: представьте, что мы хотим получить доступ к www.perfectacademy.org. Поскольку этот домен существует, мы обязательно получим ответ на доступ к веб-сайту Perfect Academy. Если затем мы удалим часть «www» и заменим ее случайной строкой, скажем, dhutz.perfectacademy.org, рекурсивный DNS-сервер будет вынужден открыть рекурсивный контекст для поиска этой строки «dhutz» на авторитетных серверах Perfect Academy.< /p>
Это приведет к ответу NXDOMAIN, который будет храниться в отрицательном кэше DNS-сервера (который больше похож на хранилище для несуществующих доменов). Если бы метка "dhutz" постоянно менялась, то каждый запрос запускал бы рекурсивный запрос к авторитетным серверам Perfect Academy, потребляя рекурсивные контексты и заполняя отрицательный кеш.
На самом деле домен NXDOMAIN гораздо шире по охвату и масштабу. Между тем, атака случайного поддомена нацелена, в частности, на авторитетные серверы имен домена.
TCP SYN-флуд
Flood-атака с синхронизацией протокола управления передачей (TCP SYN) – это форма DDoS-атаки, которая прерывает рукопожатие между сервером и клиентом, переполняя его произвольными запросами.
Эта атака направлена не на истощение вычислительной мощности сервера, а на исчерпание резерва доступных открытых соединений. Это достигается путем отправки пакетов сообщений синхронизации (SYN) на сервер быстрее, чем он может ответить на них.Типичное трехстороннее рукопожатие просто включает в себя отправку клиентом сообщения синхронизации (SYN) на сервер, сервер отвечает сообщением подтверждения синхронизации (SYN-ACK). Пока сервер готовит сообщение SYN-ACK в качестве ответа, злоумышленник генерирует все больше и больше запросов, что в конечном итоге приводит к большому количеству полуоткрытых подключений, что в конечном итоге приводит к сбою сервера.
Атака блокировки домена DNS
Атака с блокировкой домена DNS — это форма DDoS-атаки со специально настроенными специальными доменами и преобразователями, которые также прерывают рукопожатие между сервером и клиентом, отправляя не правильный ответ, а отвечая случайными пакетами данных. Они держат сервер занятым и ждут надлежащего ответа (который никогда не приходит), истощая резерв доступных соединений.
Основное различие между этим и SYN-флудом TCP заключается в том, что атака блокировки домена DNS происходит на следующем этапе трехэтапного рукопожатия TCP. Чтобы успешно установить соединение, клиент отправляет сообщение SYN, сервер отвечает сообщением SYN-ACK и ждет ответного сообщения ACK от клиента. Атака блокировки домена DNS намеренно замедляет рукопожатие, отправляя обратно сообщения ACK со стороны злоумышленника. Эти ложные домены отвечают, отправляя случайные или бесполезные пакетные данные, чтобы удерживать преобразователь DNS занятым, неспособным разрешить рукопожатие. Это полностью сводит на нет все другие законные соединения для реальных пользователей.
Атака перепривязки DNS
Атаки с повторной привязкой DNS используют уязвимости DNS для обхода политики одинакового происхождения веб-браузера, позволяя одному домену отправлять запросы другому, что может иметь далеко идущие последствия. Например, используя перепривязку DNS, злоумышленник может получить контроль над всей вашей домашней сетью.
Представьте себе: вы просматриваете сомнительный веб-сайт, на котором работает вредоносный скрипт:
DNS – это основная форма связи. Он принимает введенные пользователем домены и сопоставляет их с IP-адресом. DNS-атаки используют этот механизм для выполнения вредоносных действий.
Например, методы DNS-туннелирования позволяют злоумышленникам компрометировать сетевые подключения и получать удаленный доступ к целевому серверу. Другие формы DNS-атак могут позволить злоумышленникам отключать серверы, красть данные, направлять пользователей на мошеннические сайты и выполнять распределенные атаки типа "отказ в обслуживании" (DDoS).
В этой статье:
Что такое DNS?
- Распознаватель DNS ищет IP-адрес в своем локальном кэше.
- Если сопоставитель DNS не находит адрес в кеше, он запрашивает DNS-сервер.
- Рекурсивный характер DNS-серверов позволяет им запрашивать друг друга, чтобы найти DNS-сервер с правильным IP-адресом или найти авторитетный DNS-сервер, на котором хранится каноническое сопоставление доменного имени с его IP-адресом.
- Как только преобразователь находит IP-адрес, он возвращает его запрашивающей программе, а также кэширует адрес для будущего использования.
Зачем проводить атаку на DNS?
DNS – это основная служба IP-сети и Интернета. Это означает, что DNS требуется во время большинства обменов. Общение обычно начинается с разрешения DNS. Если служба разрешения станет недоступной, большинство приложений перестанут работать.
Злоумышленники часто пытаются запретить службу DNS, обходя стандартную функцию протокола или используя эксплойты и недостатки. DNS принимается всеми инструментами безопасности с ограниченной проверкой протокола или использования. Это может открыть двери для туннелирования, кражи данных и других эксплойтов, использующих подземные коммуникации.
Каковы 5 основных типов атак DNS?
Вот некоторые методы, используемые для DNS-атак.
1. DNS-туннелирование
Туннелирование DNS включает кодирование данных других программ или протоколов в запросах и ответах DNS. Обычно он содержит полезные данные, которые могут захватить DNS-сервер и позволить злоумышленникам управлять удаленным сервером и приложениями.
Туннелирование DNS часто зависит от внешнего сетевого подключения скомпрометированной системы, что обеспечивает доступ к внутреннему DNS-серверу с доступом к сети. Это также требует управления сервером и доменом, который функционирует как полномочный сервер, который выполняет исполняемые программы полезной нагрузки данных, а также туннелирование на стороне сервера.
2. Усиление DNS
Атаки с усилением DNS выполняют распределенный отказ в обслуживании (DDoS) на целевом сервере. Это включает в себя использование открытых DNS-серверов, которые находятся в открытом доступе, чтобы перегрузить цель трафиком ответов DNS.
Как правило, атака начинается с того, что злоумышленник отправляет запрос поиска DNS на открытый DNS-сервер, подделывая исходный адрес, чтобы он стал целевым адресом. Как только DNS-сервер возвращает ответ на запись DNS, он передается новой цели, которая контролируется злоумышленником.
3. DNS-атака
Атаки лавинной рассылки DNS включают использование протокола DNS для выполнения флуда протокола пользовательских дейтаграмм (UDP). Злоумышленники развертывают действительные (но поддельные) пакеты DNS-запросов с чрезвычайно высокой скоростью передачи пакетов, а затем создают большую группу исходных IP-адресов.
Поскольку запросы выглядят действительными, DNS-серверы цели начинают отвечать на все запросы. Затем DNS-сервер может быть перегружен огромным количеством запросов. Атака DNS требует большого количества сетевых ресурсов, которые утомляют целевую инфраструктуру DNS до тех пор, пока она не будет отключена. В результате доступ к Интернету у цели также снижается.
4. Спуфинг DNS
Спуфинг DNS, или отравление кэша DNS, предполагает использование измененных записей DNS для перенаправления интернет-трафика на мошеннический сайт, который выдает себя за предполагаемого получателя. Как только пользователи достигают мошеннического места назначения, им предлагается войти в свою учетную запись.
После того, как они вводят информацию, они, по сути, дают злоумышленнику возможность украсть учетные данные для доступа, а также любую конфиденциальную информацию, введенную в мошенническую форму входа. Кроме того, эти вредоносные веб-сайты часто используются для установки вирусов или червей на компьютеры конечных пользователей, предоставляя субъекту угрозы долгосрочный доступ к машине и любым хранящимся на ней данным.
5. Атака NXDOMAIN
DDoS-атака с переполнением DNS NXDOMAIN пытается перегрузить DNS-сервер, используя большое количество запросов на недопустимые или несуществующие записи. Эти атаки часто обрабатываются прокси-сервером DNS, который использует большую часть (или все) своих ресурсов для запросов к полномочному серверу DNS. Это приводит к тому, что как полномочный сервер DNS, так и прокси-сервер DNS используют все свое время для обработки неверных запросов. В результате время ответа на законные запросы замедляется, пока в конечном итоге не останавливается совсем.
Предотвращение DNS-атак
Вот несколько способов, которые помогут защитить вашу организацию от DNS-атак:
Держите DNS Resolver закрытым и защищенным
Ограничьте использование преобразователя DNS только пользователями в сети и никогда не оставляйте его открытым для внешних пользователей. Это может предотвратить отравление кеша внешними субъектами.
Настройте свой DNS против отравления кеша
Настройте безопасность в своем программном обеспечении DNS, чтобы защитить свою организацию от отравления кеша. Вы можете добавить вариативность к исходящим запросам, чтобы злоумышленникам было сложно ввести поддельный ответ и добиться его принятия. Например, попробуйте рандомизировать идентификатор запроса или использовать случайный исходный порт вместо UDP-порта 53.
Безопасное управление DNS-серверами
Авторитетные серверы могут размещаться внутри компании, у поставщика услуг или с помощью регистратора доменов. Если у вас есть необходимые навыки и опыт для внутреннего хостинга, вы можете получить полный контроль. Если у вас нет необходимых навыков и масштаба, вы можете отдать этот аспект на аутсорсинг.
Проверьте свои веб-приложения и API на наличие уязвимостей DNS
Bright автоматически сканирует ваши приложения и API на наличие сотен уязвимостей, включая проблемы безопасности DNS.
Созданные отчеты не содержат ложноположительных результатов, поскольку Bright проверяет каждую находку, прежде чем сообщить вам о ней. Отчеты поставляются с четкими инструкциями по исправлению для вашей команды. Благодаря интеграции Bright с такими инструментами для обработки заявок, как JIRA, можно легко назначать проблемы непосредственно вашим разработчикам для быстрого устранения.
Зарегистрируйте БЕСПЛАТНУЮ учетную запись Bright и начните автоматизировать тестирование приложений и безопасности API
Атака на DNS — это любая атака, направленная на доступность или стабильность службы DNS в сети. Атаки, использующие DNS в качестве механизма в рамках общей стратегии атаки, такие как отравление кеша, также считаются DNS-атаками. В этой статье мы рассмотрим распространенные типы DNS-атак.
Общие атаки на службу DNS
Эти атаки направлены на атаку самой инфраструктуры DNS, либо делая саму службу DNS недоступной, либо искажая ответы, предоставляемые серверами DNS. Имейте в виду, что DNS состоит из двух (2) отдельных компонентов: авторитетных серверов (хостинг ответов) и рекурсивных серверов (поиск ответов), и для каждого компонента существуют специальные атаки, которые будут обсуждаться позже.
Сетевые наводнения
Как и любой другой сервер, DNS-серверы подвержены всем сетевым атакам.Злоумышленники могут направить большой объем сетевого трафика на DNS-серверы разными способами, например, путем переполнения TCP/UDP/ICMP, делая службу недоступной для других пользователей сети, перегружая сетевое соединение с DNS-серверами.
Уязвимость программного обеспечения
Злоумышленники также могут использовать определенную уязвимость в программном обеспечении DNS-сервера или операционной системе хоста, чтобы либо обойти меры контроля для создания мошеннических записей в базе данных DNS, либо вызвать сбой DNS-сервера.
Атаки на авторитетные серверы
Авторитетные серверы имен поддерживают зону DNS и записи, как в базе данных. Вот некоторые распространенные атаки на авторитетные DNS-серверы.
Разведка
Несанкционированное обновление
Авторитетные серверы имен могут принимать динамические обновления, то есть они могут создавать новые записи DNS на лету. Однако злоумышленники могут использовать эту функцию для проникновения несанкционированных записей в зону DNS.
Атака на поддомены
Атаки на рекурсивные серверы
Отравление кеша
Основная задача рекурсивного сервера — создание и хранение обширного кеша ответов DNS. Отравление кеша направлено на то, чтобы испортить ответы, хранящиеся в кеше, поэтому любой последующий поиск от других клиентов даст поврежденный ответ. Это обсуждается в разделе Отравление кеша.
NXDOMAIN и фантомный домен
Подобно атаке поддоменов на авторитетные серверы, эта атака запрашивает рекурсивные серверы имен, о которых известно, что они не существуют. Это приведет к тому, что рекурсивный сервер потратит время на обход пространства имен DNS только для того, чтобы прийти к выводу, что имя не существует, и заполнить кеш бесполезными ответами.
Другие атаки и эксплойты на основе DNS
Атака усиления + отражения
Рассмотренные ранее DDoS-атаки представляют собой разновидность атак, при которых злоумышленники атакуют DNS-серверы внутри организации. Эти типы атак, которые мы рассматриваем сейчас, — это когда злоумышленники захватывают DNS-серверы внутри организации в рамках DDoS-атаки, чтобы нацелиться на кого-то другого. Более подробно это обсуждается в DDoS.
Захват домена и перенаправление
Говоря о вредоносных программах, сегодня многие типы вредоносных программ используют DNS как часть своей общей функции не только для связи с сервером управления и контроля, но и для обновления и развития себя. Ярким примером является недавняя программа-вымогатель WannaCry, которая полагается на первоначальный успешный DNS-запрос перед выполнением своей атаки. Чтобы узнать больше о вредоносных программах, нажмите здесь.
Эвакуация данных и туннелирование
Туннелирование DNS – это общий метод кодирования сообщений в запросах и ответах DNS, в основном для того, чтобы избежать обнаружения. Несмотря на то, что DNS-туннелирование используется в законных целях, оно становится серьезным, когда кто-то использует его для извлечения конфиденциальной информации из целевой среды. Это чрезвычайно сложно обнаружить из-за постоянно меняющихся доменных имен и выбранной схемы кодирования-декодирования.
Читайте также: