Útok DNS

Útok DNS je zneužití, při kterém útočník využívá zranitelnosti v systému doménových jmen (DNS).

Pro pochopení fungování útoků DNS je důležité nejprve pochopit, jak systém doménových jmen funguje. DNS je protokol, který převádí uživatelsky přívětivé doménové jméno, například WhatIs.com, na počítačovou IP adresu 206.19.49.154.

Když koncový uživatel zadá do prohlížeče klienta lidově přívětivé doménové jméno WhatIs.com, program v operačním systému klienta zvaný DNS resolver vyhledá číselnou IP adresu WhatIs.com. Nejprve resolver DNS zkontroluje svou vlastní místní mezipaměť, aby zjistil, zda již nemá IP adresu WhatIs.com. Pokud tuto adresu nemá, požádá resolver server DNS, aby zjistil, zda zná správnou IP adresu pro WhatIs.com. Servery DNS jsou rekurzivní, což jednoduše znamená, že se mohou navzájem dotazovat a buď najít jiný server DNS, který zná správnou IP adresu, nebo najít autoritativní server DNS, který uchovává kanonické mapování názvu domény WhatIs.com na její IP adresu. Jakmile resolver najde IP adresu, vrátí ji žádajícímu programu a uloží ji do mezipaměti pro budoucí použití.

Ačkoli je systém DNS poměrně robustní, byl navržen pro použitelnost, nikoli pro bezpečnost, a typy dnes používaných útoků na systém DNS jsou četné a poměrně složité a využívají komunikaci mezi klienty a servery tam a zpět. Útočníci obvykle využívají komunikaci v prostém textu tam a zpět mezi klienty a třemi typy serverů DNS. Další oblíbenou strategií útoku je přihlášení na webové stránky poskytovatele DNS pomocí ukradených pověření a přesměrování záznamů DNS.

Aby správci serverů snížili pravděpodobnost útoku DNS, měli by používat nejnovější verzi softwaru DNS, důsledně monitorovat provoz a konfigurovat servery tak, aby duplikovaly, oddělovaly a izolovaly různé funkce DNS. Na obranu proti útokům DNS odborníci doporučují při provádění změn v infrastruktuře DNS organizace zavést vícefaktorové ověřování. Provozní pracovníci by také měli sledovat veškeré změny veřejně spojené se záznamy DNS nebo digitálními certifikáty spojenými s jejich organizací. Další strategií je nasazení rozšíření DNSSEC (Domain Name System Security Extensions), které posiluje ověřování v systému DNS pomocí digitálních podpisů založených na kryptografii s veřejným klíčem.

Vektory útoků na DNS

Mezi typy útoků na DNS patří:

Útok nulového dne – útočník zneužije dosud neznámou zranitelnost v zásobníku protokolu DNS nebo softwaru serveru DNS.

Otrávení vyrovnávací paměti – útočník poškodí server DSN tím, že nahradí legitimní IP adresu ve vyrovnávací paměti serveru adresou jinou, podvodnou, aby přesměroval provoz na škodlivé webové stránky, shromažďoval informace nebo zahájil jiný útok. Otrávení vyrovnávací paměti může být označováno také jako otrava DNS.

Odmítnutí služby – útok, při kterém škodlivý bot odesílá na cílovou IP adresu více provozu, než programátoři, kteří plánovali jeho datové vyrovnávací paměti, předpokládali, že by někdo mohl odeslat. Cíl se stává neschopným vyřešit legitimní požadavky.

Distribuované odepření služby – útočník používá botnet ke generování obrovského množství požadavků na vyřešení problémů na cílovou IP adresu.

Zesílení DNS – útočník využije server DNS, který umožňuje rekurzivní vyhledávání, a pomocí rekurze rozšíří svůj útok na další servery DNS.

Fast-flux DNS – útočník s extrémní frekvencí vyměňuje záznamy DNS, aby přesměroval požadavky DNS a vyhnul se odhalení.

Záznamy DNS – útočník vyměňuje záznamy DNS s extrémní frekvencí, aby přesměroval požadavky DNS a vyhnul se odhalení.

Záznamy DNS s extrémní frekvencí.