Что такое спуфинг DNS

Обновлено: 21.11.2024

Спуфинг DNS (служба доменных имен) — это процесс отравления записей на DNS-сервере с целью перенаправления целевого пользователя на вредоносный веб-сайт, находящийся под контролем злоумышленника. Атака DNS обычно происходит в общедоступной среде Wi-Fi, но может произойти в любой ситуации, когда злоумышленник может отравить таблицы ARP (протокол разрешения адресов) и заставить целевые пользовательские устройства использовать машину, контролируемую злоумышленником, в качестве сервера для определенного веб-сайта. Это первый шаг изощренной фишинговой атаки на общедоступную сеть Wi-Fi, которая также может заставить пользователей установить вредоносное ПО на свои устройства или разгласить конфиденциальную информацию.

Как осуществляется спуфинг DNS?

Большинство злоумышленников используют готовые инструменты для спуфинга DNS. Некоторые злоумышленники пишут собственные инструменты, но для этого типа атак это не нужно. Любое место с бесплатным общедоступным Wi-Fi является основной целью, но это может быть выполнено в любом месте с подключенными устройствами. Домашняя или корпоративная сеть может быть уязвима для этой атаки, но в этих местах обычно есть мониторинг, который выявляет вредоносную активность. Публичный Wi-Fi часто неправильно настраивается и плохо защищен, что дает злоумышленникам больше возможностей для подмены DNS. Вот почему рекомендуется всегда думать о безопасности Wi-Fi, будь то дома или в общественных местах.

  • Используйте arpspoof, чтобы заставить компьютер целевого пользователя указывать на компьютер злоумышленника, когда пользователь вводит адрес домена в своем браузере. Этот шаг существенно отравляет кеш разрешений на компьютере пользователя.
  • Выполните еще одну команду arpspoof, чтобы обмануть веб-сервер домена, заставив его думать, что IP-адрес клиента является IP-адресом компьютера злоумышленника.
  • Создайте запись в файле HOST, указывающую IP-адрес компьютера злоумышленника на целевой веб-сайт. Эта запись HOST используется, когда пользователи запрашивают доменное имя.
  • Настройте фишинговый веб-сайт, который будет выглядеть так же, как «настоящий» веб-сайт на локальном вредоносном компьютере.
  • Собирайте данные от целевых жертв в сети, обманом заставляя их аутентифицироваться или вводя их информацию на поддельные страницы веб-сайта.

Что подразумевается под спуфингом DNS?

Термин «спуфинг» в атаке означает, что злоумышленник использует вредоносный сайт, который напоминает официальный сайт, известный пользователю. Поскольку DNS является важной частью интернет-коммуникаций, отравление записей дает злоумышленнику идеальный сценарий фишинга для сбора конфиденциальных данных. Злоумышленник может собирать пароли, банковскую информацию, номера кредитных карт, контактную информацию и географические данные.

Поскольку пользователь считает сайт официальным, злоумышленник может успешно провести фишинговую кампанию. Поддельный сайт содержит элементы, узнаваемые пользователем, и, в идеале, без красных флажков, указывающих на то, что сайт является поддельным. На поддельном веб-сайте могут присутствовать непреднамеренные красные флажки, но пользователи редко их замечают, что делает спуфинг эффективным способом кражи личных данных.

Почему спуфинг DNS является проблемой?

Поскольку пользователи часто становятся жертвами фишинга при атаке с подделкой DNS, это создает угрозу конфиденциальности данных. Поддельный сайт зависит от целей злоумышленника. Например, если злоумышленник хочет украсть банковскую информацию, первым делом нужно найти популярный банковский сайт, скачать код и файлы стилей и загрузить их на вредоносную машину, используемую для перехвата соединений.

Люди, использующие законный сайт, вводят банковский домен в свои браузеры, но вместо этого открывают вредоносный веб-сайт. Большинство злоумышленников проверяют и проверяют, правильно ли сделан поддельный сайт, но иногда несколько незначительных ошибок выдают поддельный сайт. Например, на вредоносном веб-сайте обычно не установлен сертификат шифрования, поэтому соединение осуществляется открытым текстом. Незашифрованное соединение — это явный красный флаг того, что размещенный сайт не является банковским веб-сайтом. Браузеры предупреждают пользователей о том, что соединение не зашифровано, но многие пользователи пропускают или игнорируют это предупреждение и все равно вводят имя пользователя и пароль.

После того, как пользователь получает доступ к поддельному веб-сайту, любая информация, введенная на сайте, включая пароль, номер социального страхования и личные контактные данные, отправляется злоумышленнику. Имея достаточно украденной информации, злоумышленник может открыть другие учетные записи от имени целевой жертвы или войти в законные учетные записи, чтобы украсть дополнительную информацию или деньги.

Как предотвратить спуфинг DNS

Любой пользователь, который выходит в Интернет через общедоступную сеть Wi-Fi, уязвим для спуфинга DNS. Для защиты от спуфинга DNS интернет-провайдеры могут использовать DNSSEC (безопасность DNS). Когда владелец домена настраивает записи DNS, DNSSEC добавляет криптографическую подпись к записям, которые требуются преобразователям, прежде чем они примут запросы DNS как подлинные.

Стандартный DNS не зашифрован и не запрограммирован таким образом, чтобы изменения и разрешенные поисковые запросы поступали с законных серверов и пользователей.DNSSEC добавляет в процесс компонент подписи, который проверяет обновления и блокирует спуфинг DNS. В последнее время популярность DNSSEC возросла, поскольку спуфинг DNS угрожает нарушить конфиденциальность пользовательских данных в любой общедоступной сети Wi-Fi.

Подмена DNS и отравление DNS

Спуфинг DNS и отравление DNS похожи, но имеют разные характеристики. Оба они обманом заставляют пользователей разглашать конфиденциальные данные, и оба они могут привести к тому, что целевой пользователь установит вредоносное программное обеспечение. Как спуфинг, так и отравление DNS представляют угрозу конфиденциальности пользовательских данных и безопасности подключения к веб-сайту, поскольку пользователи взаимодействуют с серверами в общедоступной сети Wi-Fi.

Отравление кэша DNS изменяет записи на преобразователях или DNS-серверах, где хранятся IP-адреса. Это означает, что любой пользователь из любого места в Интернете будет перенаправлен на сайт, контролируемый злоумышленниками, при условии, что они используют записи зараженного DNS-сервера. Отравление может затронуть глобальных пользователей в зависимости от зараженного сервера.

Подмена DNS – это более широкий термин, описывающий атаки на записи DNS. Любая атака, которая изменяет записи DNS и заставляет пользователей получить доступ к сайту, контролируемому злоумышленником, будет считаться спуфингом, включая отравление записей. Спуфинг может привести к более прямым атакам на локальную сеть, где злоумышленник может отравить записи DNS уязвимых машин и украсть данные у коммерческих или частных пользователей.

Отравление и спуфинг системы доменных имен (DNS) — это виды кибератак, использующих уязвимости DNS-серверов для перенаправления трафика с законных серверов на поддельные. После того, как вы попали на мошенническую страницу, вы можете быть озадачены тем, как ее решить, несмотря на то, что вы единственный, кто может это сделать. Вам нужно точно знать, как это работает, чтобы защитить себя.

Спуфинг DNS и, как следствие, отравление кэша DNS являются одними из наиболее обманчивых киберугроз. Не понимая, как Интернет соединяет вас с веб-сайтами, вы можете быть обмануты, думая, что сам веб-сайт взломан. В некоторых случаях это может быть просто ваше устройство. Хуже того, комплекты кибербезопасности могут остановить только некоторые угрозы, связанные с подделкой DNS.

Что такое DNS и что такое DNS-сервер?

Вам может быть интересно, что такое DNS? Повторюсь, DNS означает «система доменных имен». Но прежде чем мы объясним DNS-серверы, важно уточнить термины, связанные с этой темой.

Адрес интернет-протокола (IP) — это идентификатор строки чисел для каждого уникального компьютера и сервера. Эти идентификаторы используются компьютерами для поиска и «общения» друг с другом.

Система доменных имен (DNS) используется для преобразования домена в соответствующий IP-адрес.

Серверы системы доменных имен (DNS-серверы) представляют собой совокупность четырех типов серверов, составляющих процесс поиска DNS. К ним относятся разрешающий сервер имен, корневые серверы имен, серверы имен доменов верхнего уровня (TLD) и полномочные серверы имен. Для простоты мы подробно расскажем только о сервере распознавателя.

Разрешающий сервер имен (или рекурсивный преобразователь) — это компонент преобразования процесса поиска DNS, находящийся в вашей операционной системе. Он предназначен для того, чтобы запрашивать — т. е. запрашивать — ряд веб-серверов для целевого IP-адреса доменного имени.

Теперь, когда мы установили определение DNS и получили общее представление о DNS, мы можем изучить, как работает поиск DNS.

Как работает поиск DNS

При поиске веб-сайта по доменному имени поиск DNS работает следующим образом

  1. Ваш веб-браузер и операционная система (ОС) пытаются вспомнить IP-адрес, связанный с доменным именем. При предыдущем посещении IP-адрес может быть извлечен из внутренней памяти компьютера или кэш-памяти.
  2. Процесс продолжается, если ни один из компонентов не знает, где находится IP-адрес назначения.
  3. ОС запрашивает у разрешающего сервера имен IP-адрес. Этот запрос запускает поиск по цепочке серверов, чтобы найти соответствующий IP-адрес для домена.
  4. В конечном итоге преобразователь найдет и передаст IP-адрес ОС, которая передаст его обратно в веб-браузер.

Процесс поиска в DNS – это жизненно важный механизм, используемый во всем Интернете. К сожалению, преступники могут злоупотреблять уязвимостями в DNS, а это означает, что вам нужно знать о возможных переадресациях. Чтобы помочь вам, давайте объясним, что такое спуфинг DNS и как он работает.

Вот как работает отравление и спуфинг кэша DNS

В отношении DNS наиболее распространены две угрозы:

  1. Спуфинг DNS — это результирующая угроза, которая имитирует законные назначения серверов для перенаправления трафика домена. Ничего не подозревающие жертвы попадают на вредоносные веб-сайты, что является целью различных методов атак с подделкой DNS.
  2. Отравление кеша DNS — это метод подмены DNS на стороне пользователя, при котором ваша система регистрирует мошеннический IP-адрес в локальном кеше памяти. Это приводит к тому, что DNS отзывает плохой сайт специально для вас, даже если проблема решена или никогда не существовала на стороне сервера.

Методы DNS-спуфинга или атак с отравлением кэша

Среди различных методов спуфинговых атак DNS вот некоторые из наиболее распространенных:

Обман «человек посередине». Злоумышленник встает между вашим веб-браузером и DNS-сервером, чтобы заразить оба. Инструмент используется для одновременного отравления кеша на вашем локальном устройстве и отравления сервера на DNS-сервере. Результатом является перенаправление на вредоносный сайт, размещенный на собственном локальном сервере злоумышленника.

Захват DNS-сервера. Злоумышленник напрямую меняет конфигурацию сервера, чтобы направлять всех запрашивающих пользователей на вредоносный веб-сайт. Как только мошенническая запись DNS будет внедрена на DNS-сервер, любой IP-запрос для поддельного домена приведет к созданию поддельного сайта.

Отравление кэша DNS спамом. Код отравления кэша DNS часто встречается в URL-адресах, отправляемых в спам-сообщениях. Эти электронные письма пытаются напугать пользователей, заставив их щелкнуть предоставленный URL-адрес, что, в свою очередь, заразит их компьютер. Баннерная реклама и изображения — как в электронных письмах, так и на ненадежных веб-сайтах — также могут направлять пользователей на этот код. После отравления ваш компьютер перенаправит вас на поддельные веб-сайты, которые выглядят как настоящие. Именно здесь на ваши устройства попадают настоящие угрозы.

Риски отравления и спуфинга DNS

Вот распространенные риски отравления и спуфинга DNS:

  • Кража данных
  • Заражение вредоносным ПО
  • Приостановленные обновления безопасности
  • Цензура

Спуфинг DNS сопряжен с несколькими рисками, каждый из которых подвергает опасности ваши устройства и личные данные.

Кража данных может быть особенно прибыльной для злоумышленников, использующих подделку DNS. Банковские веб-сайты и популярные интернет-магазины легко подделать, то есть любой пароль, кредитная карта или личная информация могут быть скомпрометированы. Перенаправления — это фишинговые веб-сайты, предназначенные для сбора вашей информации.

Заражение вредоносным ПО — еще одна распространенная угроза спуфинга DNS. С подделкой, перенаправляющей вас, пункт назначения может оказаться сайтом, зараженным вредоносными загрузками. Drive by Downloads — это простой способ автоматизировать заражение вашей системы. В конечном счете, если вы не используете интернет-безопасность, вы подвергаетесь таким рискам, как шпионское ПО, кейлоггеры или черви.

Остановка обновлений безопасности может быть вызвана подделкой DNS. Если среди поддельных сайтов есть поставщики интернет-безопасности, легитимные обновления безопасности выполняться не будут. В результате ваш компьютер может быть подвержен дополнительным угрозам, таким как вирусы или трояны.

Цензура — это риск, который на самом деле является обычным явлением в некоторых частях мира. Например, Китай использует модификации DNS, чтобы обеспечить одобрение всех веб-сайтов, просматриваемых в стране. Эта блокировка на уровне страны, получившая название Великого брандмауэра, является одним из примеров того, насколько мощным может быть спуфинг DNS.

В частности, трудно устранить отравление кэша DNS. Поскольку очистка зараженного сервера не избавляет настольное или мобильное устройство от проблемы, устройство вернется на поддельный сайт. Кроме того, чистые рабочие столы, подключающиеся к зараженному серверу, будут снова скомпрометированы.

Как предотвратить отравление и спуфинг кэша DNS

Чтобы предотвратить спуфинг DNS, средства защиты на стороне пользователя ограничены. Владельцы веб-сайтов и поставщики серверов имеют немного больше возможностей для защиты себя и своих пользователей. Чтобы надлежащим образом обезопасить всех, обе стороны должны стараться избегать подделок.

Вот как предотвратить это для владельцев веб-сайтов и поставщиков услуг DNS:

  1. Инструменты обнаружения спуфинга DNS
  2. Расширения безопасности системы доменных имен
  3. Сквозное шифрование

Вот как предотвратить для конечных пользователей:

  1. Никогда не нажимайте на незнакомую ссылку
  2. Регулярно сканируйте компьютер на наличие вредоносных программ
  3. Очистите кеш DNS, чтобы устранить отравление.
  4. Использовать виртуальную частную сеть (VPN)

Советы по профилактике для владельцев веб-сайтов и поставщиков DNS-серверов

Как владелец веб-сайта или поставщик DNS-сервера, вы несете полную ответственность за защиту пользователей. Вы можете использовать различные защитные инструменты и протоколы для защиты от угроз. Среди этих ресурсов было бы разумно использовать некоторые из следующих:

  1. Средства обнаружения спуфинга DNS. В качестве эквивалента продуктов для защиты конечных пользователей эти средства обнаружения активно сканируют все полученные данные перед их отправкой.
  2. Расширения безопасности системы доменных имен (DNSSEC). По сути, это DNS-метка «подтвержденный настоящий», система DNSSEC помогает обеспечить аутентичность и защиту от подмены при поиске в DNS.
  3. Сквозное шифрование. Зашифрованные данные, отправляемые для DNS-запросов и ответов, защищают от злоумышленников, поскольку они не смогут скопировать уникальный сертификат безопасности для законного веб-сайта.

Советы по профилактике для конечных пользователей

В этом пользователи особенно уязвимы, чтобы не стать жертвой атаки с отравлением DNS, вам следует следовать этим простым советам:

  1. Никогда не нажимайте на незнакомую ссылку. Это включает в себя электронную почту, текстовые сообщения или ссылки в социальных сетях. Инструменты, которые сокращают URL-адреса, могут дополнительно маскировать места назначения ссылок, поэтому избегайте их, насколько это возможно. Чтобы быть особенно безопасным, всегда выбирайте ручной ввод URL-адреса в адресную строку. Но делайте это только после того, как подтвердите, что это официально и законно.
  2. Регулярно сканируйте компьютер на наличие вредоносных программ. Хотя вы, возможно, не сможете обнаружить отравление кэша DNS, ваше программное обеспечение безопасности поможет вам обнаружить и удалить любые вторичные заражения. Поскольку поддельные сайты могут распространять все типы вредоносных программ, вам всегда следует выполнять сканирование на наличие вирусов, шпионских программ и других скрытых проблем. Обратное также возможно, так как вредоносное ПО может создавать подделки. Всегда делайте это, используя локальную программу, а не размещенную версию, поскольку отравление может подделать результаты в Интернете.
  3. При необходимости очистите кеш DNS, чтобы устранить отравление. Отравление кеша остается в вашей системе в течение длительного времени, если вы не очистите зараженные данные. Этот процесс может быть таким же простым, как открытие программы Windows «Выполнить» и ввод «ipconfig /flushdns» в качестве команды. Mac, iOS и Android также имеют варианты сброса. Обычно их можно найти в опции «Сброс настроек сети», переключении режима полета, перезагрузке устройства или в определенном собственном URL-адресе веб-браузера. Найдите метод для своего конкретного устройства.
  4. Используйте виртуальную частную сеть (VPN). Эти службы предоставляют вам зашифрованный туннель для всего вашего веб-трафика и использование частных DNS-серверов, которые используют исключительно сквозные зашифрованные запросы. В результате вы получаете гораздо более устойчивые к DNS-спуфингу серверы и запросы, которые невозможно прервать.

Защитите себя от спуфинга DNS и атак вредоносного ПО. Защитите себя сегодня с помощью Kaspersky Security Cloud — доступно как для ПК с Windows, так и для Mac iOS.

Что такое спуфинг DNS и как его предотвратить? Вот что вам нужно знать.

Это сообщение также доступно на датском языке

Сам по себе DNS никогда не был безопасным. Будучи созданным в 1980-х годах, когда Интернет был совершенной новинкой, защита не была приоритетом при его разработке. Со временем это привело к тому, что злоумышленники воспользовались этой проблемой и разработали сложные методы атак, использующие DNS, такие как спуфинг DNS.

В следующих строках я расскажу об определении спуфинга DNS, а также о наиболее распространенных методах кибератак. В дополнение к этому я также представлю простой пошаговый обзор атаки и несколько советов о том, как ее предотвратить. Итак, без лишних слов, давайте приступим к делу.

Что такое спуфинг DNS?

Спуфинг DNS – это кибератака, при которой фальшивые данные вводятся в кэш преобразователя DNS, в результате чего сервер имен возвращает неверный IP-адрес. Другими словами, эти типы атак используют уязвимости в серверах доменных имен и перенаправляют трафик на незаконные веб-сайты.

Когда рекурсивный распознаватель отправляет запрос авторитетному серверу имен, у распознавателя нет возможности проверить достоверность ответа. Лучшее, что может сделать распознаватель, — это проверить, пришел ли ответ с того же IP-адреса, с которого распознаватель отправил запрос в первую очередь. Но полагаться на исходный IP-адрес ответа не рекомендуется, поскольку исходный IP-адрес пакета ответа DNS можно легко подделать.

С точки зрения безопасности из-за неправильной конструкции DNS распознаватель не может идентифицировать поддельный ответ на один из своих запросов. Это означает, что киберпреступники могут легко выдать себя за авторитетный сервер, который изначально был запрошен распознавателем, подделывая ответ, который, как представляется, исходит от этого авторитетного сервера.

Короче говоря, злоумышленник может перенаправить пользователя на вредоносный сайт так, чтобы пользователь этого не заметил. В двух словах, спуфинг DNS относится ко всем атакам, которые пытаются изменить записи DNS, возвращенные пользователю, и перенаправить его/ее на вредоносный веб-сайт.

Методы спуфинга DNS

Атака с подменой DNS может происходить под разными обличьями. Наиболее распространенными методами, используемыми хакерами для этого, являются перехват DNS, отравление кеша и атаки «человек посередине» (MITM). Преступники могут использовать один из этих методов или их комбинацию для достижения своих гнусных целей. Давайте кратко рассмотрим, как работает каждая тактика.

Захват DNS

Перехват DNS, также известный как перенаправление DNS, представляет собой тип атаки с подделкой, при которой запрос пользователя обрабатывается ненадлежащим образом и перенаправляет его на вредоносный сайт, а не на целевой объект. Для этого киберпреступники используют различные тактики: захват маршрутизаторов, перехват сообщений DNS или развертывание вредоносного ПО на конечных точках цели.

Отравление кеша

В случае отравления кеша злоумышленники используют измененные записи DNS для перенаправления интернет-трафика на вредоносный веб-сайт, который напоминает предполагаемый запрос пользователя. Этот метод обычно используется для кражи учетных данных для входа, поскольку жертвам сразу же предлагается войти на мошенническую страницу. Кроме того, веб-сайт может попытаться установить вредоносное ПО на конечной точке пользователя, чтобы предоставить злоумышленнику долгосрочный доступ к сети компании.

Атаки «человек посередине»

Спуфинг DNS также может действовать как тип атаки «человек посередине», когда злоумышленник перехватывает запрос DNS и возвращает дублирующую страницу вместо реальной. Помимо направления потенциальных жертв на фальшивый сайт, предназначенный для воспроизведения предполагаемого места назначения пользователя, хакеры, пытающиеся атаковать MITM, иногда просто передают трафик реального веб-сайта и незаметно крадут вашу информацию в фоновом режиме.

Как работает спуфинг DNS

Как я упоминал выше, спуфинг DNS включает в себя несколько различных методов, которые хакеры могут использовать независимо или в тандеме. Однако, независимо от их MO, атака такого рода всегда будет состоять из трех основных этапов — разведка, доступ и атака. Вот разбивка того, что происходит на каждом этапе операции.

Шаг 1. Разведка

Первым шагом в запуске атаки с подделкой DNS является разведка: MAC-адрес DNS-сервера, версия программного обеспечения, известные уязвимости, среднее количество запросов, обрабатываемых в час, любой используемый тип DNSSEC (система безопасности доменных имен), протоколы связи и шифрование. алгоритмы и т. д.

Шаг 2. Доступ

После завершения разведки злоумышленник приступит к получению доступа к DNS-серверу. Имейте в виду, что хакеру не нужен полный и абсолютный контроль над сервером. Это было бы бессмысленно. Вместо этого он будет внедрять поддельные записи DNS для перенаправления соединений.

Этот шаг позволяет достичь трех целей: повредить «здоровый» реестр DNS, заставить клиента подключиться к вредоносному серверу и, что не менее важно, «убедить» DNS-сервер в правильности записи для вредоносного сайта. и законно. Так почему же это также известно как отравление? Потому что, как яд проникает в каждую ткань и клетку, так и поддельные записи DNS.

Как распространяется эта «зараза»? DNS-серверы не действуют сами по себе — они взаимодействуют с другими DNS-серверами. Один сервер не знает числовые адреса всех веб-сайтов. Но они могут попросить помощи у других.

Представьте, что происходит, когда «отравленный» DNS-сервер связывается с другим сервером, чтобы узнать адрес? Заражается и второй. И этот процесс продолжается до тех пор, пока ошибочные записи не будут обнаружены и удалены.

Шаг 3. Атака

Имейте в виду, что сервер не знает, что его записи были подделаны, потому что он не применяет никаких форм безопасности. Теперь пользователь будет перенаправлен на адрес, указанный DNS-сервером.

Только это не настоящий Facebook, а клонированный веб-сайт, который выглядит точно так же, как настоящий. Оттуда хакеры могут выполнять различные операции по краже данных на машине жертвы: формы для кражи данных, вредоносные полезные нагрузки, встроенные в автоматически запускаемые макросы Office, установку шпионских программ или анализаторов трафика, запуск DDoS и т. д.

Как защитить свои конечные точки от спуфинга DNS

Хотя атаки с подменой DNS, несомненно, коварны, их также можно предотвратить с помощью нескольких дополнительных мер безопасности, а также передовых решений. Вот несколько практических советов, которые помогут вам предотвратить подобные инциденты на вашем предприятии и охватить все векторы атак.

1. Настройте DNSSEC

Расширения безопасности DNS (DNSSEC) широко используются для защиты реестра сервера от внешнего вмешательства. С помощью сложной криптографии, цифровых подписей и дополнительных методов система DNSSEC проверяет ответы на запросы доменных имен, гарантируя отсутствие дублирующих перенаправлений на любом этапе процесса.

Существует два основных этапа активации DNSSEC для определенного домена. Прежде всего, вам необходимо добавить записи, связанные с DNSSEC, в вашу зону DNS. Затем вы должны опубликовать соответствующие записи DNS, и изменение вступит в силу в течение 24 часов. Дополнительную информацию о том, как это сделать на серверах имен доменов Google и собственных серверах имен доменов, можно найти в специальном руководстве службы поддержки Google.

2. Найдите символ защищенного соединения

Безопасная навигация в Интернете упрощается благодаря символу безопасного соединения, который указывает на то, что страница является подлинной. При открытии веб-сайта ищите символ замка рядом с адресной строкой. Это означает, что ваше соединение защищено. Отсутствие замка указывает на то, что веб-сайт мог быть клонирован в злонамеренных целях, поэтому лучше держаться подальше от него, чтобы защитить свои данные и другие цифровые активы.

3. Регулярно применяйте исправления к DNS-серверам

Исправление важно не только для конечных точек и программного обеспечения, которое установлено на них локально. DNS-серверы тоже нуждаются в них, так как у них есть свои уязвимости. Убедитесь, что используемый вами DNS-сервер исправлен до последней версии, чтобы избежать каких-либо нарушений. Использование программного обеспечения для автоматического управления исправлениями может помочь вам упростить этот процесс.

4. Выполните тщательную фильтрацию DNS-трафика

Расширенная фильтрация трафика DNS зарекомендовала себя как наилучший метод выявления атак, осуществляемых через DNS, и борьбы с ними. Рассмотрите возможность развертывания решения для кибербезопасности, включающего активную фильтрацию DNS, например Heimdal™ Threat Prevention.

Тысячи компаний по всему миру экономят время и деньги с Okta. Узнайте, какое влияние идентификационные данные могут оказать на вашу организацию.

Во время атаки с отравлением DNS хакер подменяет адрес действительного веб-сайта самозванцем. После завершения этот хакер может украсть ценную информацию, такую ​​​​как пароли и номера учетных записей. Или хакер может просто отказаться загружать поддельный сайт.

Кто-то, просматривающий Интернет, может никогда не узнать, что происходит спуфинг DNS. Человек может посетить сайт, который выглядит совершенно нормально и даже функционирует нормально, так что все кажется безопасным.

Или этот человек может обнаружить, что любимый сайт просто не загружается. Этот человек может попробовать еще раз или два, но гнев может быть направлен на компанию за размещение сайта, который не работает.

Предотвращение отравления DNS начинается с блокировки спуфинга DNS. Мы расскажем вам все о том, как это сделать.

Что такое отравление DNS?

Отравление DNS — это хакерский прием, позволяющий манипулировать известными уязвимостями в системе доменных имен (DNS). По завершении хакер может перенаправить трафик с одного сайта на поддельную версию. И заражение может распространяться из-за того, как работает DNS.

В 2014 году китайский спуфинг распространился по всему миру. В какой-то момент, по словам журналистов, эта проблема затронула примерно седьмую часть всех пользователей Интернета по всему миру. Никто не мог загрузить нужные сайты, включая Facebook и Twitter.

Как работает DNS?

Веб-разработчикам рекомендуется использовать короткие и удобные веб-адреса при разработке своих сайтов. Это может помочь им лучше выполнять поисковые запросы, а их адреса помогают потребителям узнать, что содержат страницы, прежде чем они нажмут на них. Но другие компьютеры не понимают адресов, которые используют люди. DNS помогает.

Каждый раз, когда вы вводите адрес в браузере:

  • Выполняется связь с DNS-сервером. Ваш компьютер должен обратиться к DNS-серверу для получения дополнительной информации.
  • DNS выполняет поиск числового адреса. Компьютеры понимают адреса серверов, состоящие только из цифр и точек. Если вы никогда раньше не искали этот сайт, ваш компьютер обратится за помощью к другому серверу.
  • Сопоставитель DNS завершает запрос. Ваш оптимизированный для человека адрес переключается на числовую версию.
  • Вы перенаправлены на свой сайт. С правильным числовым адресом вы направляетесь на правильный сервер, на котором размещен ваш сайт.
  • Данные сохраняются. Используемый вами интернет-сервер имеет DNS-сервер, на котором хранятся переводы человеческих адресов в числовые версии. Здесь хранятся результаты вашего поиска.

Эта работа выполняется за секунды, и вы можете не заметить задержки. Но за вашим экраном ваш компьютер обращается к другим, чтобы понять, куда вам следует двигаться дальше и что должно произойти.

Система DNS была разработана в 1983 году, когда в Интернете было гораздо меньше веб-сайтов и серверов. Разработчики и не предполагали, что кто-то захочет играть с системой или обманывать пользователей, поэтому никаких мер безопасности не было.

Как выглядит отравление кэша DNS?

Вы запрашиваете посещение сайта, и ваш сервер принимает ответ хакера. Эти фальсифицированные данные сохраняются, и отравление кеша DNS завершено.

Хакер может сделать это следующим образом:

  • Олицетворение сервера. Ваш DNS-сервер отправляет запрос на перевод, и хакер очень быстро отвечает неправильным ответом, задолго до того, как правильный сервер может это сделать.
  • Привязка сервера. В 2008 году исследователи обнаружили, что хакеры могут отправлять тысячи запросов на кеширующий сервер.Затем хакеры отправляют тысячи ложных ответов и со временем получают контроль над корневым доменом и всем сайтом.
  • Использование открытых портов. В 2020 году исследователи обнаружили, что хакеры могут отправлять тысячи запросов на порты преобразователя DNS. Со временем с помощью этой атаки они обнаруживают, какой порт открыт. Будущие атаки будут сосредоточены только на этом порту.

Атака с удержанием DNS происходит из-за того, что система небезопасна. Ваш компьютер поддерживает обмен данными с серверами по протоколу пользовательских дейтаграмм (UDP). Это позволяет быстро и эффективно общаться. Но никаких встроенных мер безопасности не предусмотрено. Ваш компьютер не проверяет подлинность сервера, с которым он общается, и не проверяет возвращаемые данные.

Подделка в этой среде относительно проста. Если вы не обязаны подтверждать свою личность, а сервер, к которому вы обращаетесь, может принадлежать кому угодно, вы можете получить фальсифицированную информацию и никогда об этом не узнать.

Ваш план спуфинга DNS

Если вы сетевой администратор и ваш сайт выйдет из строя, ваши посетители не будут винить в этом хакеров. Они будут обвинять вас и вашу компанию. Предотвратить отравление кеша очень важно, но это непросто.

  • Управляйте собственными DNS-серверами. Вы будете владеть информацией, хранящейся в результате каждого запроса, и сможете проверять ее на качество и подлинность по установленному вами расписанию.
  • Ограничьте количество запросов. Отклоняйте DNS-запросы через открытые порты. Вы не будете засыпаны запросами, которые могут испортить ваши данные, и у вас будет меньше шансов пережить поглощение.
  • Изучите программное обеспечение. Некоторое программное обеспечение DNS поставляется со встроенными средствами защиты. Поговорите с разработчиками и убедитесь, что вы получаете все, за что заплатили.

Официальные лица также работают над решениями. Расширения безопасности системы доменных имен (DNSSEC) были разработаны ICANN, и когда они будут реализованы, они будут использовать проверку. Вы будете знать, что объект, с которым вы работаете, является подлинным, и данным, которые вы принимаете, можно доверять.

Для обеспечения полной защиты необходимо широкое развертывание DNSSEC. Если вам требуется аутентификация, но никто другой этого не делает, вы не сможете обслуживать сайты по запросу. Чиновники надеются, что в будущем эту технологию будет использовать больше компаний.

Помощь Окты

Правильная настройка и защита DNS-сервера требует времени, таланта и настойчивости. Если у вас нет времени или опыта для решения этих задач, мы можем помочь.

Наши проверенные методы помогут обеспечить работоспособность ваших сайтов и безопасность ваших данных. Свяжитесь с нами, чтобы узнать, как Okta может помочь защититься от отравления DNS.

Читайте также: