DNS rebinding
DNS převazba je formou počítačového útoku . V tomto útoku, škodlivý webové stránky způsobuje návštěvníkům spuštění skriptu na straně klienta , který napadá počítače jinde v síti. Teoreticky, politika stejného původu zabraňuje tomuto od události: client-side skripty jsou povoleny pro přístup k obsahu na stejném hostiteli, který sloužil skript pouze. Porovnání doménových jmen je nezbytnou součástí prosazování této politiky, takže DNS převazba obchází tuto ochranu tím, že zneužívají Domain Name System (DNS).
Tento útok může být použit k porušení si privátní sítě tím, že způsobí oběti webový prohlížeč pro přístup k zařízení v privátních IP adres a vrácení výsledků do útočníkovi. To může být také použit k používání stroje oběť za spam , Distributed Denial-of-Service útoky a jiné škodlivé aktivity.
Jak DNS převazba funguje Extremní
Útočník registruje doménu (například attacker.com) a delegáty, aby to na DNS serveru se ovládá. Server je nakonfigurován tak, aby reagovaly s velmi krátkou dobu žít (TTL) záznam, zabraňuje reakci před mezipaměti. Když oběť přejde na škodlivý domény, útočníka DNS server, nejprve reaguje s IP adresou serveru, který je hostitelem škodlivého kódu na straně klienta. Například by mohl poukázat prohlížeč oběti na webové stránky, která obsahuje škodlivý JavaScript nebo Flash .
Škodlivý kód na straně klienta je další přístupy k původnímu názvu domény (např. attacker.com). Ty jsou povoleny politikou stejného původu. Nicméně, když prohlížeč oběti spustí skript to dělá novou žádost DNS pro doménu, a útočník odpoví s novou IP adresou. Například mohl odpovědět s interní adresu IP nebo adresu IP cíle někde jinde na internetu.
Ochrana Extremní
Následující postupy se pokusí, aby se zabránilo zavádění vazby DNS útokům:
Webové prohlížeče lze realizovat DNS balíků: IP adresa je zablokována na hodnotě přijatého v prvním odpovědi DNS. Tato technika může blokovat některé legitimní použití Dynamic DNS , a nemusí pracovat proti všem útokům.
Privátní IP adresy mohou být odfiltrovány odpovědí DNS.
Externí veřejné DNS servery s touto filtrování např. OpenDNS .
Lokální administrátoři mohou konfigurovat místní organizace nameservery , aby rezoluci blokovali externích názvů do interních adres IP.
Filtrování DNS ve firewallu nebo démon, např. dnswall.
Webové servery mohou odmítnout HTTP požadavky s neznámého hostitele záhlaví.
Firefox NoScript rozšíření poskytuje částečnou ochranu (pro soukromé sítě) pomocí jeho ABE funkci, která blokuje webový provoz z externích adres pro místní adresy.