DNS támadás

A DNS támadás egy olyan exploit, amelyben a támadó kihasználja a tartománynévrendszer (DNS) sebezhetőségeit.

A DNS támadások működésének megértéséhez először is fontos megérteni, hogyan működik a tartománynévrendszer. A DNS egy olyan protokoll, amely egy felhasználóbarát tartománynevet, például a WhatIs.com-ot lefordítja a számítógépbarát 206.19.49.154 IP-címre.

Amikor egy végfelhasználó beírja az ügyfél böngészőjébe a felhasználóbarát WhatIs.com tartománynevet, az ügyfél operációs rendszerében egy DNS-feloldónak nevezett program megkeresi a WhatIs.com numerikus IP-címét. Először a DNS-feloldó ellenőrzi a saját helyi gyorsítótárát, hogy van-e már a WhatIs.com IP-címe. Ha nincs meg a cím, akkor a feloldó lekérdez egy DNS-kiszolgálót, hogy megtudja, ismeri-e a WhatIs.com helyes IP-címét. A DNS-kiszolgálók rekurzívak, ami egyszerűen azt jelenti, hogy lekérdezhetnek egymástól egy másik DNS-kiszolgálót, amely ismeri a helyes IP-címet, vagy pedig a WhatIs.com tartománynév IP-címének kanonikus leképezését tároló hiteles DNS-kiszolgálót. Amint a reszolver megtalálja az IP-címet, visszaküldi az IP-címet a kérő programnak, és a címet a későbbi használatra gyorsítótárba helyezi.

A DNS ugyan meglehetősen robusztus, de a használhatóság, nem pedig a biztonság érdekében tervezték, és a ma használatos DNS-támadások típusai számosak és meglehetősen összetettek, kihasználva az ügyfelek és a kiszolgálók közötti oda-vissza kommunikációt. A támadók jellemzően a kliensek és a háromféle DNS-kiszolgáló közötti egyszerű szöveges kommunikációt használják ki. Egy másik népszerű támadási stratégia a DNS-szolgáltató weboldalára való bejelentkezés lopott hitelesítő adatokkal, és a DNS-rekordok átirányítása.

A DNS-támadás esélyének csökkentése érdekében a szerveradminisztrátoroknak a DNS-szoftver legújabb verzióját kell használniuk, következetesen figyelniük kell a forgalmat, és a szervereket úgy kell konfigurálniuk, hogy a különböző DNS-funkciókat duplikálják, elkülönítsék és elkülönítsék. A DNS-támadások elleni védekezés érdekében a szakértők a szervezet DNS-infrastruktúrájának módosításakor többfaktoros hitelesítés bevezetését javasolják. Az üzemeltetési személyzetnek a DNS-rekordjaikhoz nyilvánosan kapcsolódó változásokat vagy a szervezetükhöz kapcsolódó digitális tanúsítványokat is figyelemmel kell kísérnie. Egy másik stratégia a Domain Name System Security Extensions (DNSSEC) telepítése, amely a nyilvános kulcsú kriptográfián alapuló digitális aláírások használatával erősíti a DNS-hitelesítést.

DNS támadási vektorok

A DNS-támadások típusai a következők:

Nulla napos támadás – a támadó kihasznál egy korábban ismeretlen sebezhetőséget a DNS protokoll stackben vagy a DNS-kiszolgáló szoftverében.

Cache poisoning – a támadó megrongálja a DSN-kiszolgálót azáltal, hogy a kiszolgáló gyorsítótárában lévő legitim IP-címet egy másik, csalárd címre cseréli annak érdekében, hogy a forgalmat egy rosszindulatú weboldalra irányítsa át, információt gyűjtsön vagy más támadást indítson. A gyorsítótár-mérgezést DNS-mérgezésnek is nevezhetjük.

Denial of Service – olyan támadás, amelynek során egy rosszindulatú robot több forgalmat küld egy célzott IP-címre, mint amennyit az adatpuffereit tervező programozók számítottak arra, hogy valaki küldeni fog. A célpont képtelenné válik a jogos kérések feloldására.

Distributed Denial of Service – a támadó egy botnetet használ arra, hogy hatalmas mennyiségű feloldási kérést generáljon egy célzott IP-címre.

DNS-erősítés – a támadó kihasznál egy olyan DNS-kiszolgálót, amely engedélyezi a rekurzív keresést, és a rekurziót arra használja, hogy támadását más DNS-kiszolgálókra is kiterjessze.

Fast-flux DNS – a támadó rendkívül gyakran cserél ki és be DNS-rekordokat, hogy átirányítsa a DNS-kérelmeket és elkerülje a felfedezést.