Главная Статьи Основы DNS-Спуфинга: Определение, Угрозы, Формы и Меры Защиты

Основы DNS-Спуфинга: Определение, Угрозы, Формы и Меры Защиты

Что такое DNS-спуфинг?

DNS-спуфинг - это собирательный термин в области ИТ-безопасности для обозначения вредоносных манипуляций с DNS, направленных на перенаправление пользователей Интернета на определенный ресурс. К подделке DNS относятся атаки с использованием отравления DNS-кэша, при которых в DNS-кэш серверов имен тайно вносится манипулируемая запись. Однако существует множество других способов злонамеренного вмешательства в работу системы доменных имен.

С первого взгляда

DNS-спуфинг: определение

2 Какие угрозы несет в себе подмена DNS?

3 Какие существуют формы подмены DNS?

4 Какие меры защиты подходят для борьбы с DNS-спуфингом?

5 DNS-спуфинг: что нужно знать

DNS-спуфинг: определение

ДНС-спуфинг атака – это тип вредоносного воздействия, когда киберпреступники используют доменную службу интернета [DNS – Domain Name System] для того чтобы перенаправить вредоносные трафики на фальшивый и или вредоносный источник. В английском языке, “спуфинг” означает “притворство”. А официальное название говорит само за себя, что касается вектор атаки. В абсолютном большинстве случаев, киберпреступники применяют DNS-спуфинг для фишинговых атак с целью похищения конфериенциальной информации у пользователей – особенно ценные данны для доступа например в банки и платежные сервисы.

Для перенаправления злоумышленники саботируют DNS . Если говорить весьма переносно, то DNS это телефонный справочник в интернете, который отвечает за присвоение доменных имен соответствующим IP-адресам веб-серверов.

Правильное назначение хранится в записях DNS, которые раздают серверы имен во всем мире и временно кэшируются локально на определенных роутерах и компьютерах. Если злоумышленникам удастся внедрить неверную запись в эту информационную цепочку, пусть даже это произойдет локально на компьютере пользователя или непосредственно на сервере имен, они смогут полностью контролировать и перенаправлять весь трафик. Кроме того, DNS-запросы обычно не шифруются, так что у злоумышленников появляется много разнообразных возможностей для успешного вмешательства.

Подмена DNS - одна из так называемых атак типа "человек посередине" (сокращенно MITM), при которых киберпреступники незаметно проникают в цифровые коммуникации между пользователями и сервисами.

Какие угрозы представляет собой подмена DNS?

Сценарии угроз варьируются относительно того, где и какова цель вредоносного использования доменной системы имен при атаке замены. В большинстве случаев, киберпреступники используют замену DNS для кражи учетных данных к ложным сайтам или для распространения вредоносных кодов, а затем на последующие атаки. Раньше пользователей часто переадресовывали на ложные порталы и сервисы банков, систем электронных платежей, веб-почты и других. Кроме того, хакерские группировки атаковались аппараты и органы власти и другие государственные учреждения, отмечая следственный пост воздействия именных атак. Следовательно, разнообразие угрoз, исходящих из этого вектора атак, варьирует от простых схем фишинга до сложного пром-шпионажа и политического использования. В последнем случае термин “DNS-спуфинг является пассивной частью комплексной атаки APT б испoлзуемой государственными объектами. Авторитарные режимы также любит испoльзовать DNS-спуфинг и иныe способы, чтобы предохранить свое население от спорного контента.

Однако в некоторых случаях DNS-спуфинг также используется для обеспечения соблюдения закона и отключения порталов с нелегальным контентом. Например, немецкий оператор Vodafone принял меры, чтобы перекрыть доступ к нелегальной стриминговой платформе kinox.to. Однако эксперты по защите данных не одобряют подобные действия, поскольку они могут быть истолкованы как активная интернет-цензура.

Какие существуют формы подмены DNS?

Подмена DNS может быть технически реализована различными способами. В целом, этот вектор атаки включает в себя все формы атак, которые компрометируют действительные записи DNS с целью перенаправления пострадавшего человека на другой контент в Интернете без его ведома. Наиболее распространенные методы подмены DNS включают

ОТРАВЛЕНИЕ КЭША DNS

Одной из форм подмены DNS является отравление DNS-кэша. Злоумышленники стремятся манипулировать записями DNS в памяти конечных устройств, маршрутизаторов и серверов. Для этого киберпреступники используют бреши в системе безопасности, чтобы изменить DNS-записи серверов имен, которые затем загружаются в кэш запрашивающих серверов и конечных устройств и передаются дальше.

ПЕРЕХВАТ DNS

Чтобы сделать это, киберпреступники внедряют вредоносное программное обеспечение, специально разработанное для перехвата DNS, в маршрутизаторы и конечные устройства, такие как ПК или планшеты. Эти разновидности программной атаки изменяют настройки соединения, хранящиеся на устройствах для перенаправления пользователей на веб-ресурсы с вредоносным содержимым без их согласия. Например, Windows-троянец Win32/DNSChanger является хорошим примером маленького, порядка нескольких килобайт, проектного EXE-файла, манипулирующего настройками системы DNS под ложным трафиком. Целью злоумышленника является фишинг и мошенничество с оплатой кликов. Поэтому жертвам перенаправляются на баннерах с оплатой за клик, чтобы злоумышленник мог получить денежный доход.

Последовательность атаки с подменой DNS

Какие меры защиты подходят для борьбы с DNS-спуфингом?

Все множество приемов для защиты разрешения имен DNS от манипуляций. Например, передача DNS-запросов между сторонами может быть защищена используя cookies для обеспечения подлинности и целостности клиентов, серверов и передаемой между ними информации. Кроме того, DNSSEC обещает обеспечить защиту от подмены DNS. Использование современного надежного серверного и конечного программного обеспечения, а также маршрутизаторов также затрудняют манипуляции с DNS вредоносными программами. Наблюдается гораздо меньше атак на исправленные системы со стороны злоумышленников и вредоносного ПО.

Сетевые подключения

Подмена DNS: что нужно знать

Злоумышленники используют DNS spоofing для подмены DNS с целью манипуляции DNS-записями на серверах, роутерах, ПК и мобильных устройствах, которые в основном перенаправляют пользователей на зловредное веб-содержимое. Обычно такие атаки направлены на кражу ценной пользовательской аутентификативной информации через фишинговые атаки, распространение вредоносного ПО или заработок на мошенничестве с кликами. Более того, авторитарные режимы широко используют методы спуфинга; нежелательные интернет-порталы могут быть легко подвергнуты цензуре путем манипуляции интернет-провайдерами. Расширения DNS, такие как DNS cookies or DNSSEC, которые используются для аутентификации и проверки целостности клиентов, серверов и данных, доказали свою эффективность.