Atak DNS

Atak DNS to exploit, w którym atakujący wykorzystuje luki w systemie nazw domen (DNS).

Aby zrozumieć, jak działają ataki DNS, ważne jest, by najpierw zrozumieć, jak działa system nazw domen. DNS jest protokołem, który tłumaczy przyjazną dla użytkownika nazwę domeny, taką jak WhatIs.com, na przyjazny dla komputera adres IP 206.19.49.154.

Kiedy użytkownik końcowy wpisuje przyjazną dla ludzi nazwę domeny WhatIs.com w przeglądarce klienta, program w systemie operacyjnym klienta zwany DNS resolver wyszukuje numeryczny adres IP WhatIs.com. Po pierwsze, DNS resolver sprawdza swoją własną lokalną pamięć podręczną, aby sprawdzić, czy ma już adres IP dla WhatIs.com. Jeśli nie posiada tego adresu, wówczas odpytuje serwer DNS, aby sprawdzić, czy zna on prawidłowy adres IP dla WhatIs.com. Serwery DNS są rekurencyjne, co oznacza, że mogą odpytywać się nawzajem, aby znaleźć inny serwer DNS, który zna poprawny adres IP lub znaleźć autorytatywny serwer DNS, który przechowuje kanoniczne mapowanie nazwy domeny WhatIs.com na jej adres IP. Jak tylko resolwer zlokalizuje adres IP, zwraca adres IP do żądającego programu i buforuje adres do przyszłego użytku.

Ale DNS jest dość solidny, został zaprojektowany z myślą o użyteczności, a nie bezpieczeństwie, a rodzaje ataków DNS w użyciu dzisiaj są liczne i dość złożone, wykorzystując komunikację tam i z powrotem między klientami i serwerami. Zazwyczaj atakujący wykorzystują komunikację w postaci plaintext pomiędzy klientami a trzema rodzajami serwerów DNS. Inną popularną strategią ataku jest logowanie się do witryny dostawcy DNS za pomocą skradzionych danych uwierzytelniających i przekierowywanie rekordów DNS.

Aby zmniejszyć szanse ataku DNS, administratorzy serwerów powinni używać najnowszej wersji oprogramowania DNS, konsekwentnie monitorować ruch i konfigurować serwery w celu powielania, rozdzielania i izolowania różnych funkcji DNS. W celu obrony przed atakami DNS, eksperci zalecają wdrożenie wieloczynnikowego uwierzytelniania podczas dokonywania zmian w infrastrukturze DNS organizacji. Pracownicy operacyjni powinni również monitorować wszelkie zmiany publicznie związane z ich rekordami DNS lub wszelkimi certyfikatami cyfrowymi związanymi z ich organizacją. Inną strategią jest wdrożenie rozszerzenia DNSSEC (Domain Name System Security Extensions), które wzmacnia uwierzytelnianie w DNS poprzez wykorzystanie podpisów cyfrowych opartych na kryptografii klucza publicznego.

Wektory ataków DNS

Typy ataków DNS obejmują:

Atak zero-day – atakujący wykorzystuje nieznaną wcześniej lukę w stosie protokołu DNS lub oprogramowaniu serwera DNS.

Zatrucie pamięci podręcznej – atakujący uszkadza serwer DSN poprzez zastąpienie legalnego adresu IP w pamięci podręcznej serwera adresem innego, nieuczciwego adresu w celu przekierowania ruchu na złośliwą stronę internetową, zebrania informacji lub zainicjowania innego ataku. Cache poisoning może być również określane jako DNS poisoning.

Denial of Service – atak, w którym złośliwy bot wysyła więcej ruchu na docelowy adres IP niż programiści, którzy zaplanowali jego bufory danych przewidzieli, że ktoś może wysłać. Cel staje się niezdolny do rozwiązywania uzasadnionych żądań.

Distributed Denial of Service – atakujący wykorzystuje botnet do generowania ogromnych ilości żądań rozwiązania na docelowy adres IP.

DNS amplification – atakujący wykorzystuje serwer DNS, który zezwala na rekursywne wyszukiwanie i używa rekursji do rozprzestrzeniania ataku na inne serwery DNS.

Fast-flux DNS – atakujący podmienia rekordy DNS z niezwykłą częstotliwością w celu przekierowania żądań DNS i uniknięcia wykrycia.

Fast-flux DNS