Спуфинг сервера доменных имен (DNS) - это кибератака, которая заставляет ваш компьютер думать, что он переходит на правильный веб-сайт, но это не так. Злоумышленники используют отравление кеша DNS для перехвата интернет-трафика и кражи учетных данных или личных данных пользователей.
Отравление кэша DNS и подмена DNS являются синонимами и часто используются как синонимы. Но, если быть точным, вы можете думать о них как о том, как и что одной и той же кибератаки. Хакер хочет обманом заставить пользователей вводить свои личные данные на небезопасные веб-сайты. Как они это сделают? Отравив кеш DNS. Они подделывают или заменяют данные DNS для определенного веб-сайта, чтобы они перенаправлялись на сервер хакера, а не на законный веб-сервер. Отсюда хакер готовится выполнить фишинговую атаку, украсть данные или даже внедрить вредоносное ПО в систему жертвы.
Получите бесплатную электронную книгу по средам Active Directory для тестирования на проникновение
«Это действительно открыло мне глаза на безопасность AD, чего никогда не делала защита».
Антифрод и различные системы безопасности сайта могут обнаруживать атаки отравления кэша DNS, отслеживая DNS и обнаруживая ненормальное поведение в активности вашего пользователя.
Что такое подмена DNS и отравление кеша?
Прежде чем говорить об атаке, нам нужно вспомнить, что такое DNS и кеширование DNS. DNS - это всемирный каталог IP-адресов и доменных имен. Думайте об этом как о телефонной книге в Интернете. Он переводит удобные для конечного пользователя URL-адреса, такие как Varonis.com, в IP-адрес, например 192.168.1.169, которые используются компьютерами для работы в сети.
Кэширование DNS - это система, которая хранит эти адреса на DNS-серверах по всему миру. Чтобы ваши запросы DNS были быстрыми, оригинальные разработчики создали распределенную систему DNS. Каждый сервер хранит список известных ему DNS-записей - это называется кешем. Если ближайший DNS-сервер не знает нужный IP-адрес, он запрашивает другие вышестоящие DNS-серверы, пока не найдет IP-адрес веб-сайта, на который вы пытаетесь попасть. Затем ваш DNS-сервер сохраняет эту новую запись в кеш, чтобы ускорить время ответа.
Примеры и последствия заражения DNS-кеша
DNS вообще не был разработан для управления современным Интернетом. С годами ситуация улучшилась, но один неправильно сконфигурированный DNS-сервер, который извлекал записи DNS с сервера в Китае, - и внезапно никто не может получить доступ к Facebook. Этот инцидент демонстрирует, насколько мы зависим от DNS. Один человек неправильно сконфигурировал сервер, и внезапно сотни миллионов людей почувствовали последствия.
WikiLeaks также стал целью злоумышленников, которые использовали атаку с отравлением DNS-кеша для перехвата трафика на свою собственную версию, подобную WikiLeaks. Это была преднамеренная атака, призванная с некоторым успехом удерживать трафик от WikiLeaks.
Атаки с отравлением кеша DNS - это хитрость, которую сложно поймать обычным людям. В настоящее время DNS является системой доверия, поэтому ею легко воспользоваться. Люди ошибочно доверяют DNS и никогда не проверяют, является ли адрес в их браузере тем адресом, который они ожидали. Злоумышленники используют эту самоуспокоенность и невнимательность, чтобы украсть учетные данные или другие данные.
Как работает атака с отравлением кэша DNS?
Трехэтапное объяснение процесса заражения DNS-кеша
Отравление кеша DNS - это когда на вашем ближайшем DNS-сервере есть запись, которая отправляет вас на неправильный адрес - обычно тот, который контролирует злоумышленник. Вот несколько различных методов, которые злоумышленники используют для отравления кеша DNS.
Взлом локальной сети с помощью спуфинга ARP
Локальная сеть может быть удивительно уязвимой целью. Многие администраторы могут подумать, что у них это заблокировано, но дьявол может быть в деталях. Одна из распространенных проблем - это сотрудники, работающие на дому. Защищен ли их Wi-Fi? Хакеры могут взломать слабый пароль Wi-Fi всего за несколько часов. Другой - открытые порты Ethernet, выставленные в коридорах и общественных вестибюлях. Только представьте, что кто-то ждет в вестибюле и подключается к кабелю Ethernet, предназначенному для дисплея в вестибюле.
Давайте посмотрим, как хакер может потенциально использовать доступ к локальной сети в одной из таких ситуаций.
Во-первых, хакер создаст фишинговую страницу, которую он может использовать для сбора учетных данных пользователя и других ценных данных. Затем они могут разместить этот сайт локально в сети или удаленно на сервере с помощью одной строки кода Python.
Оттуда хакер может начать мониторинг сети с помощью таких инструментов, как Betterrcap. На этом этапе они отображают и исследуют целевую сеть, но трафик все еще проходит через маршрутизатор.
Затем хакер использовал бы ARP-спуфинг для внутренней реструктуризации сети. ARP или протокол разрешения адресов используется устройствами в сети для связывания MAC-адреса устройства с IP-адресом в сети. Bettercap будет отправлять сообщения ARP, сообщая всем устройствам в сети, что компьютер хакера является маршрутизатором. Это позволяет хакеру перехватывать весь сетевой трафик, направленный на маршрутизатор.
Как только весь трафик перенаправляется через компьютер хакера, хакер может запустить модуль спуфинга DNS Bettercap. Это будет искать любые запросы к целевому домену и отправлять ложный ответ жертве. Фальшивый запрос содержит IP-адрес компьютера хакера, перенаправляя любой запрос на целевой веб-сайт на фишинговую страницу, размещенную хакером.
Теперь хакер может видеть трафик, предназначенный для других устройств в сети, и перенаправлять запросы для любого веб-сайта. Хакер может видеть все, что делает жертва на этой странице, включая сбор учетных данных для входа или обслуживание вредоносных загрузок.
Если хакер не может получить доступ к локальной сети, он прибегнет к одной из следующих атак.
Подделка ответов с использованием атаки на день рождения
DNS не проверяет подлинность ответов на рекурсивные запросы, поэтому первый ответ сохраняется в кеше. Злоумышленники используют «парадокс дня рождения», чтобы попытаться предвидеть и отправить поддельный ответ запрашивающей стороне. Эта атака на день рождения использует математику и теорию вероятностей, чтобы сделать предположение. В этом случае злоумышленник пытается угадать идентификатор транзакции вашего DNS-запроса, поэтому поддельный ответ с поддельной записью DNS попадает к вам раньше, чем настоящий ответ.
Атака в день рождения не является гарантированным успехом, но, в конце концов, злоумышленник утащит поддельный ответ в кеш. Как только атака будет успешной, злоумышленник будет видеть трафик от поддельной записи DNS, пока не истечет время жизни (TTL).
Эксплойт Каминского
Эксплойт Каминского - это вариант атаки на день рождения, представленной на BlackHat 2008.
Сначала злоумышленник отправляет целевому распознавателю DNS-запрос для несуществующего домена, например «fake.varonis.com». Затем преобразователь пересылает запрос авторитетному серверу имен, чтобы получить IP-адрес для ложного поддомена. На этом этапе злоумышленник наводняет распознаватель огромным количеством поддельных ответов, надеясь, что один из этих поддельных ответов совпадает с идентификатором транзакции исходного запроса.
Если они успешны, злоумышленник отравил кеш DNS целевого преобразователя поддельным IP-адресом для - в этом примере - varonis.com. Сопоставитель будет продолжать сообщать всем, кто его спросит, что IP-адрес для varonis.com является поддельным запросом до TTL.
Как обнаружить отравление кэша DNS
Так как же обнаружить атаку с отравлением кеша DNS? Следите за своими DNS-серверами на предмет индикаторов возможных атак. У людей нет вычислительной мощности, чтобы справляться с количеством DNS-запросов, которые вам нужно будет отслеживать. Применяйте аналитику безопасности данных к своему мониторингу DNS, чтобы отличить нормальное поведение DNS от атак.
Как защититься от отравления кеша DNS
Список из четырех способов предотвратить отравление кеша DNS.
Помимо мониторинга и аналитики, вы можете вносить изменения в конфигурацию своего DNS-сервера.
Убедитесь, что вы используете последние версии программного обеспечения BIND и DNS, чтобы у вас были последние исправления безопасности.
Если возможно, например, с удаленными сотрудниками, подключите всех удаленных клиентов через VPN, чтобы защитить трафик и запросы DNS от локального отслеживания. Кроме того, не забудьте установить надежный пароль домашней сети Wi-Fi, чтобы еще больше снизить риск.
И, наконец, используйте зашифрованные DNS-запросы. Безопасность системы доменных имен (DNSSEC) - это протокол DNS, который использует подписанные DNS-запросы для предотвращения подделки. При использовании DNSSEC преобразователю DNS необходимо проверить подпись на полномочном DNS-сервере, что замедляет весь процесс. Это привело к тому, что DNSSEC еще не получил широкого распространения.
DNS через HTTPS (DoH) и DNS через TLS (DoT) являются конкурирующими спецификациями для следующей версии DNS, чтобы обеспечить безопасность DNS-запросов без ущерба для скорости, как DNSSEC. Однако это не идеальные решения, поскольку они могут замедлить или полностью предотвратить локальный мониторинг и анализ DNS. Также важно отметить, что DoH и DoT могут обходить любой родительский контроль или другую блокировку уровня DNS, выполняемую в сети. При этом у Cloudflare, Quad9 и Google есть общедоступные DNS-серверы, которые могут поддерживать DoT. Многие новые клиенты могут поддерживать эти новые стандарты, но по умолчанию отключены. Вы можете найти более подробную информацию в блоге Varonis по безопасности DNS .
Подмена DNS заменяет законный IP-адрес веб-сайта на IP-адрес компьютера хакера. Это может быть особенно сложно из-за того, насколько сложно обнаружить, с точки зрения конечного пользователя, они поместили совершенно нормальный адрес в адресную строку своего браузера. Однако остановиться невозможно. Риск может быть уменьшен с помощью программного обеспечения для мониторинга, такого как Varonis, и использования стандарта шифрования DNS over TLS.
Часто задаваемые вопросы о спуфинге DNS
Изучите некоторые общие вопросы о подмене DNS, ответы на которые приведены ниже.
Вопрос: Отравление кэша DNS и спуфинг DNS - одно и то же?
Ответ: Да, подмена DNS и кеширование относятся к одной и той же кибератаке.
Вопрос: Как работает отравление кэша DNS?
О: Отравление кеша DNS работает путем обмана вашего DNS-сервера для сохранения поддельной записи DNS. Трафик для поддельной записи DNS поступает на сервер злоумышленников, решивших украсть данные.
В: Какие функции безопасности можно использовать для защиты от отравления кеша DNS?
О: Владельцы веб-сайтов могут реализовать мониторинг и аналитику DNS-спуфинга. Это включает обновление их DNS-серверов для использования DNSSEC или другой системы шифрования, такой как DNS через HTTPS или DNS через TLS. Использование полного сквозного шифрования, такого как HTTPS, везде, где это возможно, также может предотвратить спуфинг. Брокеры безопасности облачного доступа (CASB) чрезвычайно полезны для этого.
Конечные пользователи могут сбросить потенциально поддельный кеш DNS, периодически очищая кеш DNS своего браузера или после присоединения к небезопасной или общей сети. Использование VPN может защитить от подмены DNS в локальной сети. Избегайте подозрительных ссылок, чтобы конечные пользователи не подвергали кеш-память своего браузера риску.
В: Как проверить наличие атаки с отравлением кэша DNS?
О: Если кеш DNS отравлен, его может быть трудно обнаружить. Возможно, это лучшая тактика для отслеживания ваших данных и защиты ваших систем от вредоносных программ для защиты от компрометации, вызванной отравленным кешем DNS.
Посетите Live Cyber Attack Lab, чтобы узнать, как используется мониторинг DNS для обнаружения реальных угроз кибербезопасности.
В: Как работает связь DNS?
О: Когда конечный пользователь вводит URL-адрес, например «Varonis.com», в свой браузер, происходит следующее:
В: Как злоумышленники отравляют кеши DNS?
О: Не существует единственного способа отравить кеш DNS, но некоторые из наиболее распространенных способов: заставить жертву щелкнуть вредоносные ссылки, которые используют встроенный код для изменения кеша DNS в своих браузерах. Кроме того, хакеры могут взломать локальный DNS-сервер, используя спуфинг-атаку типа «злоумышленник в середине». Атака использует подмену ARP для перенаправления DNS-запросов на контролируемый ими DNS-сервер.
В: Что такое отравление кэша DNS?
О: Отравление кэша DNS - это акт замены записи в базе данных DNS вредоносным IP-адресом, который отправляет конечного пользователя на сервер, контролируемый хакером.
В: Как выполняется подмена DNS?
О: Хакер выполняет атаку с подменой DNS, получая доступ и изменяя кеш DNS или перенаправляя запросы DNS на свой собственный DNS-сервер.
В: Что подразумевается под спуфингом DNS?
О: Подмена DNS означает, что URL-адрес, который пользователь вводит в своем браузере, например varonis.com, на самом деле не переходит на законный IP-адрес, связанный с этим URL-адресом, а вместо этого перенаправляется на вредоносный сервер, контролируемый хакером.
В: Почему проблема с подменой DNS?
О: Спуфинг DNS является проблемой, потому что DNS по своей природе является надежным и часто не защищен никаким шифрованием. Это означает, что хакер может подделать запись DNS и использовать ее для кражи данных, заражения вредоносным ПО, фишинга и предотвращения обновлений.
В: Каковы угрозы, связанные с атакой с использованием спуфинга DNS?
О: Основная угроза, которую представляет спуфинг DNS, - это кража данных с использованием фишинговых страниц. Кроме того, существует угроза заражения вредоносным ПО из-за размещения законно выглядящих загрузок, которые на самом деле заражены вредоносным ПО. Наконец, если система полагается на Интернет для получения обновлений, обновления можно предотвратить, изменив их записи DNS, чтобы они не преобразовывались в реальный веб-сайт. Это также может быть применено к любому веб-сайту как метод цензуры.
Отравление кэша DNS и подмена DNS являются синонимами и часто используются как синонимы. Но, если быть точным, вы можете думать о них как о том, как и что одной и той же кибератаки. Хакер хочет обманом заставить пользователей вводить свои личные данные на небезопасные веб-сайты. Как они это сделают? Отравив кеш DNS. Они подделывают или заменяют данные DNS для определенного веб-сайта, чтобы они перенаправлялись на сервер хакера, а не на законный веб-сервер. Отсюда хакер готовится выполнить фишинговую атаку, украсть данные или даже внедрить вредоносное ПО в систему жертвы.
Получите бесплатную электронную книгу по средам Active Directory для тестирования на проникновение
«Это действительно открыло мне глаза на безопасность AD, чего никогда не делала защита».
Антифрод и различные системы безопасности сайта могут обнаруживать атаки отравления кэша DNS, отслеживая DNS и обнаруживая ненормальное поведение в активности вашего пользователя.
- Что такое подмена DNS и отравление кеша?
- Как работает атака с отравлением кэша DNS?
- Как обнаружить отравление кэша DNS
- Как защититься от отравления кеша DNS
- Часто задаваемые вопросы о спуфинге DNS
Что такое подмена DNS и отравление кеша?
Прежде чем говорить об атаке, нам нужно вспомнить, что такое DNS и кеширование DNS. DNS - это всемирный каталог IP-адресов и доменных имен. Думайте об этом как о телефонной книге в Интернете. Он переводит удобные для конечного пользователя URL-адреса, такие как Varonis.com, в IP-адрес, например 192.168.1.169, которые используются компьютерами для работы в сети.
Кэширование DNS - это система, которая хранит эти адреса на DNS-серверах по всему миру. Чтобы ваши запросы DNS были быстрыми, оригинальные разработчики создали распределенную систему DNS. Каждый сервер хранит список известных ему DNS-записей - это называется кешем. Если ближайший DNS-сервер не знает нужный IP-адрес, он запрашивает другие вышестоящие DNS-серверы, пока не найдет IP-адрес веб-сайта, на который вы пытаетесь попасть. Затем ваш DNS-сервер сохраняет эту новую запись в кеш, чтобы ускорить время ответа.
Примеры и последствия заражения DNS-кеша
DNS вообще не был разработан для управления современным Интернетом. С годами ситуация улучшилась, но один неправильно сконфигурированный DNS-сервер, который извлекал записи DNS с сервера в Китае, - и внезапно никто не может получить доступ к Facebook. Этот инцидент демонстрирует, насколько мы зависим от DNS. Один человек неправильно сконфигурировал сервер, и внезапно сотни миллионов людей почувствовали последствия.
WikiLeaks также стал целью злоумышленников, которые использовали атаку с отравлением DNS-кеша для перехвата трафика на свою собственную версию, подобную WikiLeaks. Это была преднамеренная атака, призванная с некоторым успехом удерживать трафик от WikiLeaks.
Атаки с отравлением кеша DNS - это хитрость, которую сложно поймать обычным людям. В настоящее время DNS является системой доверия, поэтому ею легко воспользоваться. Люди ошибочно доверяют DNS и никогда не проверяют, является ли адрес в их браузере тем адресом, который они ожидали. Злоумышленники используют эту самоуспокоенность и невнимательность, чтобы украсть учетные данные или другие данные.
Как работает атака с отравлением кэша DNS?
Трехэтапное объяснение процесса заражения DNS-кеша
Отравление кеша DNS - это когда на вашем ближайшем DNS-сервере есть запись, которая отправляет вас на неправильный адрес - обычно тот, который контролирует злоумышленник. Вот несколько различных методов, которые злоумышленники используют для отравления кеша DNS.
Взлом локальной сети с помощью спуфинга ARP
Локальная сеть может быть удивительно уязвимой целью. Многие администраторы могут подумать, что у них это заблокировано, но дьявол может быть в деталях. Одна из распространенных проблем - это сотрудники, работающие на дому. Защищен ли их Wi-Fi? Хакеры могут взломать слабый пароль Wi-Fi всего за несколько часов. Другой - открытые порты Ethernet, выставленные в коридорах и общественных вестибюлях. Только представьте, что кто-то ждет в вестибюле и подключается к кабелю Ethernet, предназначенному для дисплея в вестибюле.
Давайте посмотрим, как хакер может потенциально использовать доступ к локальной сети в одной из таких ситуаций.
Во-первых, хакер создаст фишинговую страницу, которую он может использовать для сбора учетных данных пользователя и других ценных данных. Затем они могут разместить этот сайт локально в сети или удаленно на сервере с помощью одной строки кода Python.
Оттуда хакер может начать мониторинг сети с помощью таких инструментов, как Betterrcap. На этом этапе они отображают и исследуют целевую сеть, но трафик все еще проходит через маршрутизатор.
Затем хакер использовал бы ARP-спуфинг для внутренней реструктуризации сети. ARP или протокол разрешения адресов используется устройствами в сети для связывания MAC-адреса устройства с IP-адресом в сети. Bettercap будет отправлять сообщения ARP, сообщая всем устройствам в сети, что компьютер хакера является маршрутизатором. Это позволяет хакеру перехватывать весь сетевой трафик, направленный на маршрутизатор.
Как только весь трафик перенаправляется через компьютер хакера, хакер может запустить модуль спуфинга DNS Bettercap. Это будет искать любые запросы к целевому домену и отправлять ложный ответ жертве. Фальшивый запрос содержит IP-адрес компьютера хакера, перенаправляя любой запрос на целевой веб-сайт на фишинговую страницу, размещенную хакером.
Теперь хакер может видеть трафик, предназначенный для других устройств в сети, и перенаправлять запросы для любого веб-сайта. Хакер может видеть все, что делает жертва на этой странице, включая сбор учетных данных для входа или обслуживание вредоносных загрузок.
Если хакер не может получить доступ к локальной сети, он прибегнет к одной из следующих атак.
Подделка ответов с использованием атаки на день рождения
DNS не проверяет подлинность ответов на рекурсивные запросы, поэтому первый ответ сохраняется в кеше. Злоумышленники используют «парадокс дня рождения», чтобы попытаться предвидеть и отправить поддельный ответ запрашивающей стороне. Эта атака на день рождения использует математику и теорию вероятностей, чтобы сделать предположение. В этом случае злоумышленник пытается угадать идентификатор транзакции вашего DNS-запроса, поэтому поддельный ответ с поддельной записью DNS попадает к вам раньше, чем настоящий ответ.
Атака в день рождения не является гарантированным успехом, но, в конце концов, злоумышленник утащит поддельный ответ в кеш. Как только атака будет успешной, злоумышленник будет видеть трафик от поддельной записи DNS, пока не истечет время жизни (TTL).
Эксплойт Каминского
Эксплойт Каминского - это вариант атаки на день рождения, представленной на BlackHat 2008.
Сначала злоумышленник отправляет целевому распознавателю DNS-запрос для несуществующего домена, например «fake.varonis.com». Затем преобразователь пересылает запрос авторитетному серверу имен, чтобы получить IP-адрес для ложного поддомена. На этом этапе злоумышленник наводняет распознаватель огромным количеством поддельных ответов, надеясь, что один из этих поддельных ответов совпадает с идентификатором транзакции исходного запроса.
Если они успешны, злоумышленник отравил кеш DNS целевого преобразователя поддельным IP-адресом для - в этом примере - varonis.com. Сопоставитель будет продолжать сообщать всем, кто его спросит, что IP-адрес для varonis.com является поддельным запросом до TTL.
Как обнаружить отравление кэша DNS
Так как же обнаружить атаку с отравлением кеша DNS? Следите за своими DNS-серверами на предмет индикаторов возможных атак. У людей нет вычислительной мощности, чтобы справляться с количеством DNS-запросов, которые вам нужно будет отслеживать. Применяйте аналитику безопасности данных к своему мониторингу DNS, чтобы отличить нормальное поведение DNS от атак.
- Внезапное увеличение активности DNS из одного источника в одном домене указывает на потенциальную атаку дня рождения.
- Увеличение активности DNS из единственного источника, который запрашивает у вашего DNS-сервера несколько доменных имен без рекурсии, указывает на попытку найти запись, которая будет использоваться для отравления.
Как защититься от отравления кеша DNS
Список из четырех способов предотвратить отравление кеша DNS.
Помимо мониторинга и аналитики, вы можете вносить изменения в конфигурацию своего DNS-сервера.
- Ограничьте рекурсивные запросы для защиты от потенциальных целевых атак отравления.
- Хранить только данные, относящиеся к запрашиваемому домену.
- Ограничьте ответы только на запрошенный домен.
- Заставить клиентов использовать HTTPS.
Убедитесь, что вы используете последние версии программного обеспечения BIND и DNS, чтобы у вас были последние исправления безопасности.
Если возможно, например, с удаленными сотрудниками, подключите всех удаленных клиентов через VPN, чтобы защитить трафик и запросы DNS от локального отслеживания. Кроме того, не забудьте установить надежный пароль домашней сети Wi-Fi, чтобы еще больше снизить риск.
И, наконец, используйте зашифрованные DNS-запросы. Безопасность системы доменных имен (DNSSEC) - это протокол DNS, который использует подписанные DNS-запросы для предотвращения подделки. При использовании DNSSEC преобразователю DNS необходимо проверить подпись на полномочном DNS-сервере, что замедляет весь процесс. Это привело к тому, что DNSSEC еще не получил широкого распространения.
DNS через HTTPS (DoH) и DNS через TLS (DoT) являются конкурирующими спецификациями для следующей версии DNS, чтобы обеспечить безопасность DNS-запросов без ущерба для скорости, как DNSSEC. Однако это не идеальные решения, поскольку они могут замедлить или полностью предотвратить локальный мониторинг и анализ DNS. Также важно отметить, что DoH и DoT могут обходить любой родительский контроль или другую блокировку уровня DNS, выполняемую в сети. При этом у Cloudflare, Quad9 и Google есть общедоступные DNS-серверы, которые могут поддерживать DoT. Многие новые клиенты могут поддерживать эти новые стандарты, но по умолчанию отключены. Вы можете найти более подробную информацию в блоге Varonis по безопасности DNS .
Подмена DNS заменяет законный IP-адрес веб-сайта на IP-адрес компьютера хакера. Это может быть особенно сложно из-за того, насколько сложно обнаружить, с точки зрения конечного пользователя, они поместили совершенно нормальный адрес в адресную строку своего браузера. Однако остановиться невозможно. Риск может быть уменьшен с помощью программного обеспечения для мониторинга, такого как Varonis, и использования стандарта шифрования DNS over TLS.
Часто задаваемые вопросы о спуфинге DNS
Изучите некоторые общие вопросы о подмене DNS, ответы на которые приведены ниже.
Вопрос: Отравление кэша DNS и спуфинг DNS - одно и то же?
Ответ: Да, подмена DNS и кеширование относятся к одной и той же кибератаке.
Вопрос: Как работает отравление кэша DNS?
О: Отравление кеша DNS работает путем обмана вашего DNS-сервера для сохранения поддельной записи DNS. Трафик для поддельной записи DNS поступает на сервер злоумышленников, решивших украсть данные.
В: Какие функции безопасности можно использовать для защиты от отравления кеша DNS?
О: Владельцы веб-сайтов могут реализовать мониторинг и аналитику DNS-спуфинга. Это включает обновление их DNS-серверов для использования DNSSEC или другой системы шифрования, такой как DNS через HTTPS или DNS через TLS. Использование полного сквозного шифрования, такого как HTTPS, везде, где это возможно, также может предотвратить спуфинг. Брокеры безопасности облачного доступа (CASB) чрезвычайно полезны для этого.
Конечные пользователи могут сбросить потенциально поддельный кеш DNS, периодически очищая кеш DNS своего браузера или после присоединения к небезопасной или общей сети. Использование VPN может защитить от подмены DNS в локальной сети. Избегайте подозрительных ссылок, чтобы конечные пользователи не подвергали кеш-память своего браузера риску.
В: Как проверить наличие атаки с отравлением кэша DNS?
О: Если кеш DNS отравлен, его может быть трудно обнаружить. Возможно, это лучшая тактика для отслеживания ваших данных и защиты ваших систем от вредоносных программ для защиты от компрометации, вызванной отравленным кешем DNS.
Посетите Live Cyber Attack Lab, чтобы узнать, как используется мониторинг DNS для обнаружения реальных угроз кибербезопасности.
В: Как работает связь DNS?
О: Когда конечный пользователь вводит URL-адрес, например «Varonis.com», в свой браузер, происходит следующее:
- Браузер сначала проверит свой локальный кеш, чтобы убедиться, что он уже сохранил данные DNS.
- Если у браузера нет данных, он спросит следующий восходящий DNS-сервер, который обычно будет вашим маршрутизатором в их локальной сети.
- Если у маршрутизатора нет необходимой записи DNS в кэше, он будет использовать вышестоящего поставщика DNS, такого как Google, Cloudflare или Quad9.
- Затем этот вышестоящий сервер получит запрос DNS и проверит свой кеш.
- 4.1 Предполагая, что данные DNS еще не кэшированы, он запустит рекурсивный преобразователь DNS, сначала запросив корневые серверы DNS с вопросом «Кто обрабатывает .com».
- 4.2 Затем преобразователь запросит у сервера домена верхнего уровня .com, спрашивая «Кто обрабатывает Varonis.com?» TDL, а затем ответит авторитетным сервером имен для URL.
- 4.3 Затем преобразователь отправляет запрос на официальный сервер имен с вопросом: «Какой IP у Varonis.com?» затем полномочный сервер имен отвечает IP-адресом домена.
В: Как злоумышленники отравляют кеши DNS?
О: Не существует единственного способа отравить кеш DNS, но некоторые из наиболее распространенных способов: заставить жертву щелкнуть вредоносные ссылки, которые используют встроенный код для изменения кеша DNS в своих браузерах. Кроме того, хакеры могут взломать локальный DNS-сервер, используя спуфинг-атаку типа «злоумышленник в середине». Атака использует подмену ARP для перенаправления DNS-запросов на контролируемый ими DNS-сервер.
В: Что такое отравление кэша DNS?
О: Отравление кэша DNS - это акт замены записи в базе данных DNS вредоносным IP-адресом, который отправляет конечного пользователя на сервер, контролируемый хакером.
В: Как выполняется подмена DNS?
О: Хакер выполняет атаку с подменой DNS, получая доступ и изменяя кеш DNS или перенаправляя запросы DNS на свой собственный DNS-сервер.
В: Что подразумевается под спуфингом DNS?
О: Подмена DNS означает, что URL-адрес, который пользователь вводит в своем браузере, например varonis.com, на самом деле не переходит на законный IP-адрес, связанный с этим URL-адресом, а вместо этого перенаправляется на вредоносный сервер, контролируемый хакером.
В: Почему проблема с подменой DNS?
О: Спуфинг DNS является проблемой, потому что DNS по своей природе является надежным и часто не защищен никаким шифрованием. Это означает, что хакер может подделать запись DNS и использовать ее для кражи данных, заражения вредоносным ПО, фишинга и предотвращения обновлений.
В: Каковы угрозы, связанные с атакой с использованием спуфинга DNS?
О: Основная угроза, которую представляет спуфинг DNS, - это кража данных с использованием фишинговых страниц. Кроме того, существует угроза заражения вредоносным ПО из-за размещения законно выглядящих загрузок, которые на самом деле заражены вредоносным ПО. Наконец, если система полагается на Интернет для получения обновлений, обновления можно предотвратить, изменив их записи DNS, чтобы они не преобразовывались в реальный веб-сайт. Это также может быть применено к любому веб-сайту как метод цензуры.
