Nätverksskydd från dns-spoofingattacker. Vi skriver ett plugin för Microsoft DNS-server för att skydda mot IDN-spoofing. Ändra DNS-cacheförgiftning

Original: Cyber ​​​​Attacks Explained: DNS Invasions
Författare: Prashant Phatak
Publiceringsdatum: 22 februari 2012
Översättning: A. Panin
Översättningsdatum: 8 december 2012

Vi ser ofta webbplatser som har förstörts, vars huvudsidor har ersatts av angripare. Hur lyckas hackare utföra sådana attacker och hur kan vi skydda vår nätverksinfrastruktur från dem? Den här artikeln förklarar hur angripare kan störa DNS (Domain Name System). DNS-attacker är tekniskt komplicerade och farliga för nätverk och webbinfrastruktur. Nätverksadministratörer bör vara medvetna om denna typ av attacker och vidta alla möjliga åtgärder för att säkerställa säkerheten för den infrastruktur de underhåller.

Som vi vet är orsaken till existensen av DNS det faktum att en person inte kan komma ihåg många IP-adresser för att komma åt webbplatser, men han kan lätt komma ihåg webbplatsnamn som består av bokstäver och siffror. DNS-systemet designades vid en tidpunkt då Internet användes av vänliga människor, vilket ledde till några av funktionerna i systemet i modern tid.

Figur 1 visar de grundläggande principerna för nätverksnamnupplösningstjänsten. När ett program (som en webbläsare) vill upprätta en anslutning till en fjärrtjänst, frågar den DNS-servern efter en IP-adress. Denna begäran i form av ett paket skickas via UDP-port nummer 53, varefter servern returnerar ett svar i form av ett paket. (Kom ihåg att eftersom datastorleken för ett UDP-datagram är begränsad till 512 byte, använder protokollstacken automatiskt TCP för att göra förfrågningar och ta emot svar.) När klienten accepterar svaret lägger den till data i sin lokala cache, vilket påskyndar efterföljande samtal till samma domän. Lokala cacheobjekt förstörs automatiskt efter att deras livslängd (TTL (Time to Live) parameter) har löpt ut.

Figur 1: Upplösning av domännamn

DNS-systemet använder posttyper som A, CNAME, SOA, MX och andra. Även om beskrivningen av dessa typer av poster ligger utanför ramen för denna artikel, är det viktigt för systemadministratörer att vara medvetna om när och hur de ska användas, och forskning bör utföras innan de används för framtida säkerhet för systemet. Innan vi tittar på attacker på DNS-systemet måste vi titta på två typer av frågor - iterativa och rekursiva.

• Iterativa DNS-frågor: Medan en klient skickar en fråga till en DNS-server som vill ha information om en domän, kan DNS-servern ha information om den domänen eller inte. Om DNS-servern inte har ett svar, istället för att slutföra begäran, skickar den namnet på den högsta DNS-servern som kan ha den nödvändiga informationen till klienten. Denna process kallas vanligtvis DNS-hänvisning. Klienten skickar en begäran till nästa (specificerade) server; om den inte har något svar, skickar den namnet på toppservern till klienten. Denna process fortsätter tills klienten får antingen en IP-adress eller ett felmeddelande om att begäran inte kan slutföras.
• Rekursiva DNS-frågor: I det här fallet börjar processen med att klienten gör en begäran om upplösning av domännamn direkt till DNS-servern. Om DNS-servern inte har ett svar förväntas den göra arbetet med att kommunicera med servrarna på högre nivå istället för att bara ge klienten deras namn. Återigen, om uppströmsservern inte har informationen för att svara på begäran, vidarebefordrar den begäran till uppströmsservern. Denna process fortsätter tills begäran når rot-DNS-servern, som måste ha den nödvändiga informationen och ett svar returneras till klienten, och om det begärda namnet inte finns returneras ett felmeddelande till klienten längs servrkedjan. Till skillnad från den iterativa metoden anses en rekursiv fråga vara mer aggressiv när det gäller att få resultatet.

Iterativa frågor görs vanligtvis av DNS-servrar, medan rekursiva frågor görs av klienter, eftersom denna typ av frågor eliminerar behovet av komplex DNS-förfrågeomdirigering. Ur ett systemsäkerhetsperspektiv måste administratörer förstå grunderna i DNS-system eftersom en organisation kan ha flera DNS-servrar igång, vilket synkroniserar zonposter för att upprätthålla datakonsistens.

DNS-data synkroniseras med jämna mellanrum utan att systemtjänsterna behöver startas om, och när ändringar görs på rotservern skickar den automatiskt ändringarna till nedströmsservrar. Den tid som krävs för att synkronisera data ställs in av livstidsparametern för varje post. När det gäller geografiskt distribuerade DNS-servrar kan datasynkroniseringsperioden pågå under hela dagen, eftersom var och en av servrarna i kedjan använder sin egen cache för att påskynda frågebehandlingen.

Attacker på DNS-system

Det har observerats att systemadministratörer lägger ner mycket tid på att utveckla säkerhetssystem för applikationer, servrar och andra infrastrukturkomponenter, men tyvärr tenderar de att glömma säkerhetssystemen för DNS-servrar. Tänk på figur 2, som visar möjliga svagheter i DNS-servrar som gör dem sårbara för attacker. DNS är utformad så att den mesta kommunikationen sker över UDP, har ingen inbyggd säkerhet och har inget inbyggt autentiseringsstöd, vilket alla gör den mer sårbar för attacker än andra nätverkstjänster. Låt oss titta på några typer av de vanligaste DNS-attackerna.

Figur 2: Möjliga svagheter hos DNS-servrar

DNS-cacheförgiftning

Denna attack kan påverka namnupplösningsprocessen på två sätt. Med den första metoden installerar angriparen skadlig programvara (ett rootkit eller virus) som är tänkt att kontrollera den lokala DNS-cachen på klientens dator. Poster i den lokala DNS-cachen ändras sedan för att peka på olika IP-adresser.

Till exempel, om en webbläsare försöker komma åt en webbplats med adressen http://www.cnn.com/, istället för att ta emot CNN IP-adressen, får den en adress som ställts in av angriparens programvara, som vanligtvis pekar på en plats som finns på en server som ägs av angriparen och som innehåller skadlig programvara eller ett meddelande som är stötande för användaren.

Det andra, farligare sättet, är att angriparen attackerar DNS-servern och modifierar dess lokala cache, så att alla servrar som använder denna server för namnupplösning kommer att få felaktiga IP-adresser, vilket i slutändan kommer att leda till att deras överträdelse fungerar och kan resultera i att förlust eller stöld av information.

I mycket sällsynta fall kan angripare få tillgång till rot-DNS-servern, som lagrar huvudrotdomänposter som .com, .net eller landsspecifika domännamnsystemposter. Hackare kan ändra poster på denna server, och andra servrar kommer att ta emot den modifierade informationen automatiskt, vilket kan leda till globala avbrott i kommersiella nätverkstjänster och webbplatser. Även om sådana situationer är mycket sällsynta inträffar de - för inte så länge sedan störde en liknande attack arbetet i ett stort socialt nätverk.

Byte av DNS-server (DNS-kapning)

Denna attack används också ofta för att ändra hur DNS-system fungerar. I detta fall görs inga ändringar i klientens DNS-cache, utan ändringar görs i inställningarna, varefter alla namnupplösningsförfrågningar adresseras till angriparens personliga DNS-server. Vanligtvis syftar denna attack inte till att stjäla data, utan på att samla in statistisk information från klientens dator. Alla namnupplösningsbegäranden som skickas till angriparens server slutförs korrekt, men angriparen får information om de webbplatser som besökts av klienten.

Denna information kan användas i efterhand för att visa kontextuell reklam för kunden. Vissa hackare använder omdirigering av användare till sina webbplatser eller sökmotorer att få pengar från reklam eller helt enkelt att stjäla data och använda sociala ingenjörstekniker. I de fall där denna funktion i DNS inte kan användas för personlig vinning, används den av många välkända webbplatser och internetleverantörer för att samla in statistisk information om de resurser som användaren besöker.

DNS-spoofing

Denna attack är en mänsklig kapningsattack där angriparen får kontroll över nätverket som kör DNS-servern och modifierar ARP-cachen med hjälp av paketförfalskning. När kontroll över nätverket på MAC-adressnivå har uppnåtts, räknar angriparen ut IP-adressen för DNS-servern och börjar övervaka och modifiera frågor avsedda för den servern.

Alla förfrågningar från nätverket passerar genom angriparens dator och når den riktiga DNS-servern. Denna attack kan få allvarliga konsekvenser, eftersom alla datorer i nätverket inte på något sätt kommer att registrera faktumet av attacken och kommer att skicka alla DNS-förfrågningar till adressen till angriparens dator.

Existerar alternativt sätt Denna attack kallas DNS ID-spoofing. Varje DNS-begäran och -svar har unika identifierare utformade för att skilja mellan förfrågningar som skickas till DNS-servern samtidigt. Dessa unika identifierare bildas ofta från MAC-adressen, datum och tid då begäran gjordes, och skapas automatiskt av protokollstacken.

Angriparen använder en sniffer för att fånga en eller flera förfrågningar och svar med deras motsvarande identifierare, och skapar sedan en begäran med motsvarande identifierare och en falsk IP-adress. Som ett resultat av dessa åtgärder lagras den förfalskade IP-adressen i det attackerade systemets lokala cache. Efter detta kan skada orsakas av det attackerade systemet genom att placera en skadlig enhet på servern med adressen som anges i begäran. programvara.

DNS-återbindning

Denna attack kallas även "DNS-pinning" och är en särskilt sofistikerad attack. Under denna process registrerar angriparen först sitt eget domännamn och ställer sedan in ett minimivärde för entry lifetime som förhindrar information om det domännamnet från att komma in i cachen.

DNS denial of service-attacker

Som vi lärde oss i den första artikeln i serien kan bombardering av port 53 med en flod av UDP- eller TCP-förfrågningspaket göra att servern upplever ett överbelastningsskydd. En annan metod för att utföra denna attack är att attackera med en flod av ping-paket eller TCP SYN-segment. Huvudtanken bakom dessa åtgärder är att maximera användningen av serverresurser (CPU och random access minne) för att hindra servern från att svara på förfrågningar. Även om DNS-servrar är skyddade av brandväggar, om DNS UDP-portarna inte blockeras från åtkomst från opålitliga nätverk, blir domännamnslösningssystemet tillgängligt för av denna typ attacker.

Ökad belastning innebär att DNS-servern laddas med uppgifter som servern inte kan utföra. Det finns ett antal sätt att ladda en server och i slutändan göra den oanvändbar. En metod använder skadlig programvara (trojan) för att modifiera den lokala DNS-cachen för flera värdar. Efter dessa åtgärder börjar alla noder med en modifierad cache skicka förfrågningar till en specifik namnserver, som tidigare valts av angriparna.

Varje server kan bara svara på ett begränsat antal förfrågningar under en begränsad tid (beroende på CPU-prestanda och konfiguration) och börjar så småningom lägga till förfrågningar i kön. Ju fler klienter som utsätts för modifieringar av den lokala DNS-cachen, desto fler förfrågningar kommer att skickas till kön och i slutändan kommer servern att förlamas.

I en annan typ av denna attack ändrar angriparen DNS-serverns cache; Istället för att ersätta IP-adresser som motsvarar A- eller CNAME-poster, ändras domännamn. För att komplicera saken kan varje domännamn vara flera hundra eller tusentals tecken långt. Datasynkroniseringsprocessen som börjar efter att ändringar har gjorts innebär att många kilobyte data skickas från huvudnamnservern till nedströmsservrar och slutligen till klienter.

Efter att TTL har gått ut börjar datasynkroniseringsprocessen igen och kan resultera i att en eller flera DNS-servrar i kedjan misslyckas. Dessa cacheeffekter simulerar en distribuerad denial of service-attack, som är farlig och svår att kontrollera.

Skydd av system baserade på fri programvara

I en värld av fria system finns en implementering av tjänsten för domännamnsupplösning, känd över hela världen på grund av den högsta drifthastigheten i jämförelse med analoger. Denna mest använda och välkända lösning är Bind-tjänsten. Men eftersom de flesta attacker på DNS-tjänster utnyttjar protokollbrister, blir uppgiften att skydda öppna system som kör domännamnslösningstjänster svårare.

Det allra första steget i att utveckla ett säkerhetssystem bör vara blockering på nätverksnivå. Förutom portar för serverunderhåll bör endast portar för DNS-frågor förbli öppna, och alla andra portar ska blockeras både på brandväggen och direkt på servern som använder operativsystemet.

Nästa viktiga steg är att se till att ingen annan programvara än domännamnslösningstjänsten är installerad på servern. Denna försiktighetsåtgärd måste vidtas särskilt när du arbetar med en företagsrotnamnsserver som stöder upplösning av alla interna domännamn och tjänster, alla namnupplösningsbegäranden till externa servrar för det lokala nätverket.

Det händer ofta att en sårbarhet i tredjepartsprogram låter dig penetrera namnupplösningsservern. Även om de mest kritiska delarna av nätverksinfrastrukturen skyddas av brandväggar, Unified Threat Management och kraftfulla antivirusprogram, är det ofta nödvändigt att stärka skyddet med ett intrångsdetektionssystem. Det låter dig slå tillbaka OSI Layer 2 och 3-attacker, såsom ARP-spoofing, IP-spoofing, snifferattacker och andra typer av attacker.

Utöver de väsentliga försiktighetsåtgärder som beskrivs ovan finns det flera avancerade tekniker som också bör tillämpas. Som vi lärde oss tidigare har varje begäran sin egen unika identifierare och skickas i ett UDP-paket. Tyvärr, på grund av utformningen av DNS-stacken som beskrivs i RFC-standarderna, är dessa identifierare lätt förutsägbara, så att använda slumpmässiga siffror för att generera identifierare är en bra idé för att förhindra spoofingattacker. På samma sätt är UDP-portnumret på vilket namnupplösningsservern accepterar förfrågningar och svarar också lätt förutsägbart och kan ändras till ett slumpmässigt.

Det finns program med öppen källkod för dessa ändamål, men när du använder dem, kom ihåg att de introducerar en liten tidsfördröjning i förfrågningsprocessen. En relativt ny och populär säkerhetsteknik är DNSSEC (DNS Security Extensions). Det skyddar klienter och servrar från attacker som modifierar DNS-cachen genom att signera poster med kryptering av offentlig nyckel. Genom att arbeta på samma sätt som SSL upprättar begäranden och svarsmottagaren en pålitlig anslutning med varandra, och när det väl har upprättats börjar namnlösningsprocessen.

När namnupplösningsprocessen är klar, återställs sessionen och därmed upprätthålls säkerheten för båda parter. DNSSEC-tekniken är implementerad på de flesta Internetleverantörsservrar i världen.

DNS-störningar är en vanlig typ av attack. Det börjar med exploatering av protokollbrister och leder till att angriparen får tillgång till IT-infrastrukturen eller använder datorer för att utföra andra typer av attacker, till exempel nätfiske. Gratis mjukvarubaserade system är också känsliga för dessa attacker, så systemadministratörer måste förstå och använda tekniker för att skydda sin infrastruktur från dataförlust eller stöld.

Den här artikeln är en del av en serie artiklar om cyberattacker skrivna av samma författare (Prashant Phatak). Andra artiklar i denna serie.

Taktiken att utge sig för att vara någon för att få tillgång till konfidentiell data eller bankkonton används framgångsrikt inte bara av kriminella i den verkliga världen, utan också av deras kollegor i det virtuella rummet. Denna praxis kallas spoofing, en kollektiv kategori som inkluderar begreppen IP-adress spoofing (sända meddelanden till datorer med IP-adressen för en betrodd källa), e-postspoofing (förfalska e-postrubriker för att dölja den sanna avsändaren) och DNS-spoofing (byta DNS serverinställningar för att omdirigera domännamnet till angriparnas IP-adress).

Hur fungerar spoofing?

Spoofing är en teknik för att imitera en annan person för att lura ett nätverk eller en specifik användare för att ingjuta förtroende för informationskällans tillförlitlighet. Till exempel kan hackare, genom e-postspoofing, vilseleda användaren om avsändarens identitet och få tillgång till konfidentiell data. Eller så kan de försöka använda IP- och DNS-förfalskningsmetoder för att lura användarens nätverk och omdirigera honom till bedrägliga webbplatser som utger sig för att vara riktiga, vilket resulterar i att användarens dator blir infekterad.

Hur känner man igen spoofing?

Det enklaste sättet att känna igen e-postspoofing är att det direkta målet är användaren själv. Alla e-postmeddelanden Ett e-postmeddelande som ber användaren om personlig information kan vara ett försök till spoofing, särskilt om det frågar efter autentiseringsuppgifter. Kom ihåg att ingen ansedd privat eller statlig organisation begär personlig information på detta sätt. Var uppmärksam på avsändarens adress för att säkerställa att den är legitim. Användaren kommer dock nästan aldrig att veta att han har blivit ett offer för IP- eller DNS-spoofing, även om vanan att vara mycket uppmärksam på detaljer och förändringar i det vanliga beteendet på webbplatsen kan vara extremt användbar. Om webbplatsen eller dess beteende ger upphov till minsta tvivel är det bättre att vägra att utföra den planerade operationen för att hålla dina data och pengar säkra.

Hur eliminerar man spoofing?

Spoofing innebär att dölja den sanna källan, så det är inte så lätt att "eliminera". Du kan skydda dig själv endast genom att följa sunt förnuft och följa de grundläggande reglerna för säkert arbete på Internet, till exempel bör du under inga omständigheter lämna dina personuppgifter via e-post. post, även om det inte råder tvivel om avsändarens rykte.

Hur man förhindrar spoofing

• Svara inte på meddelanden som ber dig att skicka din personliga information eller inloggningsinformation
• Kontrollera avsändarens adress noggrant
• Var uppmärksam på konstigt beteende eller skillnader i detaljer på webbplatser du är bekant med

DNS-spoofing är en enkel metod för att lura ett DNS-system, ett DNS-namnupplösningsblock som använder falsk information som tas emot från en värd som inte är ansvarig för den informationen. Varje DNS-paket har ett 16-bitars id-nummer, id-numret är den del av DNS-paketet som låter dig identifiera varje DNS-paket som går via port 53 och begäran kan också göras mer än en gång. ID:t är det enda sättet att skilja mellan olika dns-förfrågningar och är relaterat till vad dns-servrar använder för att avgöra vad den ursprungliga begäran var. När det gäller BIND ökar detta antal med 1 nivå för varje begäran. En attack som liknar TCP seq id kan göras, även om det är svårare. Även om BIND inte kan cachelagra informationen du skickar, kommer den att vidarebefordra svaret till den ursprungliga värden. I händelse av att ircd gör en PTR-begäran som svar på en värd som ansluter till den, kan svarspaketet vara formulerat för att innehålla Ytterligare information, från vilken ircd kommer att göra intern cachelagring. Denna attack kräver root-åtkomst på dns-servern som är ansvarig för in-addr. arpa-blocket med dns-information. Dessutom kan ircd endast cachelagra en domän. Det finns en annan attack, eftersom id består av 16 bitar. Användaren kan gå igenom hela idspace. För att fejka din dns, låt oss säga på DALNet"e, måste du skicka 65 000 genererade förfrågningar till ns-servern, så snart datorn får ett svar på förfrågan måste du läsa paketet, och rätt id kommer att skrivas i den. När du har fått id:t måste du hitta något slags "paketskapande verktyg" för att göra ett dns-paket. Allt som återstår är att fejka DNS-paket och skicka dem till ns. dal. net och få en spoofing TCP-anslutning.

Allmänt om problemet I samband med Internets snabba tillväxt blir problemet med att skydda informationsresurser allt större. Om du är ansluten till Internet kan ditt system attackeras. Låt oss titta på hur DNS fungerar. Out-of-segment-adressering utförs med hjälp av IP-adresser, men åtkomst till servrar utförs vanligtvis med hjälp av domännamn. I detta avseende skapades ett system för omvandling (mappning) av domännamn till IP-adresser - DNS-servrar (Domain Name System). Detta system ansvarar för att hitta IP-adressen för en fjärrvärd efter dess namn. Funktionsprincipen för DNS-systemet är som följer: fjärrvärden skickar en speciell begäran till IP-adressen för närmaste DNS-server, som anger namnet på servern vars IP-adress måste hittas. När DNS-servern tar emot en begäran söker den i sin databas efter närvaron av det begärda domännamnet. Om namnet hittas returnerar DNS-servern ett svar som anger den sökta IP-adressen. Om namnet som anges i begäran inte hittas av DNS-servern i dess namndatabas, skickas DNS-begäran av DNS-servern till en av rot-DNS-servrarna och proceduren som beskrivs i detta stycke upprepas tills namnet hittas. Låt oss överväga ett allmänt schema för hur en falsk DNS-server fungerar: väntar på en DNS-begäran; att ha mottagit en DNS-begäran, extrahera den nödvändiga informationen från den och sända ett falskt DNS-svar över nätverket till den begärande värden, på uppdrag (från IP-adressen) av den verkliga DNS-servern, vilket indikerar IP-adressen för den falska DNS-servern ; i händelse av att ta emot ett paket från en värd, ändra dess IP-adress i IP-huvudet på paketet till IP-adressen för en falsk DNS-server och överföra paketet till servern (det vill säga den falska DNS-servern fungerar med servern på sina egna vägnar); i händelse av att ta emot ett paket från servern, ändra dess IP-adress i IP-huvudet på paketet till IP-adressen för den falska DNS-servern och överföra paketet till värden (för värden är den falska DNS-servern den verkliga servern ).

En förutsättning för detta attackalternativ är att avlyssna DNS-begäran. Detta är endast möjligt om angriparen antingen befinner sig i huvudtrafikens väg eller i segmentet för den riktiga DNS-servern. Uppfyllelse av ett av dessa villkor för angriparens plats i nätverket gör en sådan fjärrattack svår att genomföra i praktiken (angriparen kommer sannolikt inte att kunna ta sig in i DNS-serversegmentet, och ännu mer in i kommunikationskanalen mellan segmenten ). Men om dessa villkor är uppfyllda är det möjligt att utföra en inter-segment fjärrattack på Internet. Resultatet av denna attack är införandet av en påtvingad överensstämmelse mellan IP-adressen och domännamnet i cachen DNS-servrar. Som ett resultat av en lyckad attack kommer alla DNS-användare i norr att få felaktig information om domännamn och IP-adresser. Denna attack kännetecknas av ett stort antal DNS-paket med samma domännamn. Detta beror på behovet av att välja vissa DNS-utbytesparametrar.

Som en analys av befintliga försvarstekniker visar kan motattacker utföras med följande metoder. Genom att byta DNS till TCP Övergången från UDP till TCP kommer att sakta ner systemet något. När du använder TCP är det nödvändigt att skapa en virtuell anslutning, och det är också värt att överväga att slutnätverkets OS först skickar en DNS-begäran med UDP-protokollet, och om de får ett speciellt svar från DNS-servern, då nätverkets OS kommer att skicka en DNS-förfrågan med TCP. Att använda TCP-protokollet kommer att göra en paketförfalskningsattack svårare, men kommer att sakta ner operationen. Genom att analysera DNS-trafik. Du kan motverka attacker genom att analysera trafiken. Falska paket med falska IP-adresser skickas ständigt till DNS-servern. Om det mottagna falska paketet matchar värdena för begäran, accepteras den falska IP-adressen som sann. Om inget paket fångas upp från servern kännetecknas attacken av ett stort antal DNS-paket med samma namn. Detta beror på behovet av att välja vissa DNS-utbytesparametrar. Genom att analysera DNS-trafik kan du ignorera sådana paket för att undvika spoofing av IP-adresser.

Slutsatser Efter att ha studerat driften av DNS-servern kan du se att den nuvarande versionen är ganska suboptimal och sårbar för olika typer av attacker. Attacker kan motverkas genom att analysera DNS-trafik eller byta DNS-drift från UPD till TCP. Ingen av metoderna ger fullständigt skydd mot attacker, båda metoderna gör det bara svårare att utföra en attack. Båda metoderna kräver ytterligare resurser från servern. Vid överföring av driften av DNS-servern till TCP ökar också utbytestiden mellan servrar, eftersom UDP-protokollet är snabbare än TCP-protokollet. För närvarande är de föreslagna motåtgärdsmodellerna de mest effektiva och det är tillrådligt att använda dem i kombination för att uppnå högsta möjliga säkerhet.