Atac DNS

Un atac DNS este un exploit prin care un atacator profită de vulnerabilitățile din sistemul de nume de domeniu (DNS).

Pentru a înțelege cum funcționează atacurile DNS, este important să înțelegem mai întâi cum funcționează sistemul de nume de domeniu. DNS este un protocol care traduce un nume de domeniu prietenos pentru utilizatori, cum ar fi WhatIs.com, în adresa IP prietenoasă pentru calculator 206.19.49.154.

Când un utilizator final tastează numele de domeniu prietenos pentru oameni WhatIs.com în browserul unui client, un program din sistemul de operare al clientului, numit DNS resolver, caută adresa IP numerică a WhatIs.com. În primul rând, programul de rezolvare DNS își verifică propriul cache local pentru a vedea dacă are deja adresa IP pentru WhatIs.com. Dacă nu are adresa, rezolvatorul interoghează apoi un server DNS pentru a vedea dacă acesta cunoaște adresa IP corectă pentru WhatIs.com. Serverele DNS sunt recursive, ceea ce înseamnă pur și simplu că se pot interoga reciproc fie pentru a găsi un alt server DNS care cunoaște adresa IP corectă, fie pentru a găsi serverul DNS autoritar care stochează corespondența canonică a numelui de domeniu WhatIs.com cu adresa IP a acestuia. De îndată ce rezolvatorul localizează adresa IP, acesta returnează adresa IP către programul solicitant și stochează adresa pentru utilizare ulterioară.

Deși DNS este destul de robust, a fost proiectat pentru utilizare, nu pentru securitate, iar tipurile de atacuri DNS utilizate în prezent sunt numeroase și destul de complexe, profitând de comunicarea de la un capăt la altul între clienți și servere. În mod obișnuit, atacatorii profită de comunicarea în clar înainte și înapoi între clienți și cele trei tipuri de servere DNS. O altă strategie de atac populară constă în conectarea la site-ul web al unui furnizor DNS cu credențiale furate și redirecționarea înregistrărilor DNS.

Pentru a diminua șansele unui atac DNS, administratorii de servere ar trebui să utilizeze cea mai recentă versiune de software DNS, să monitorizeze în mod constant traficul și să configureze serverele pentru a duplica, separa și izola diferitele funcții DNS. Pentru a se apăra împotriva atacurilor DNS, experții recomandă implementarea autentificării cu mai mulți factori atunci când se fac modificări la infrastructura DNS a organizației. Personalul operațional ar trebui, de asemenea, să monitorizeze orice modificări asociate public cu înregistrările DNS sau cu orice certificate digitale asociate cu organizația lor. O altă strategie este de a implementa Domain Name System Security Extensions (DNSSEC), care consolidează autentificarea în DNS prin utilizarea semnăturilor digitale bazate pe criptografia cu cheie publică.

Vectori de atac DNS

Tipurile de atacuri DNS includ:

Atac în ziua zero – atacatorul exploatează o vulnerabilitate necunoscută anterior în stiva de protocol DNS sau în software-ul serverului DNS.

Otrăvirea cache-ului – atacatorul corupe un server DSN prin înlocuirea unei adrese IP legitime din cache-ul serverului cu cea a unei alte adrese, necinstite, pentru a redirecționa traficul către un site web malițios, pentru a colecta informații sau pentru a iniția un alt atac. Otrăvirea cache-ului poate fi denumită și otrăvirea DNS.

Denial of Service – un atac în care un robot rău intenționat trimite mai mult trafic către o adresă IP vizată decât au anticipat programatorii care i-au planificat tampoanele de date că ar putea trimite cineva. Ținta devine incapabilă să rezolve cereri legitime.

Denial of Service distribuit – atacatorul folosește un botnet pentru a genera cantități masive de cereri de rezoluție către o adresă IP vizată.

Amplificarea DNS – atacatorul profită de un server DNS care permite căutări recursive și folosește recursivitatea pentru a-și răspândi atacul la alte servere DNS.

Fast-flux DNS – atacatorul schimbă înregistrările DNS cu o frecvență extrem de mare pentru a redirecționa cererile DNS și a evita detectarea.

.