DNS spoofing
DNS spoofing (nebo mezipaměti otravy DNS ) je počítačový hacking útok, kdy jsou data vložena do Domain Name System (DNS) název serveru s mezipaměti databáze , což je název serveru se vrátit nesprávnou adresu IP , přesměrování provozu na jiný počítač ( často útočníka).
Přehled Domain Name System Extremní
Název domény systému serveru překládá pro člověka srozumitelný název domény (například example.com) na číselné IP adresy , která se používá pro směrování komunikace mezi uzly . Za normálních okolností, pokud server nezná požadovaného překladu to požádá jiný server, a tento proces pokračuje rekurzivně. Chcete-li zvýšit výkon, bude server, typicky pamatovat (Cache) tyto překlady na určitou dobu, takže, v případě, že obdrží další požadavek na stejném překladu, může odpovědět, aniž byste museli znovu požádat druhou serveru.
Když je DNS server přijal falešný překlad a ukládá jej pro optimalizaci výkonu, má se za to otrávené , a dodává falešné údaje klientům. Je-li server DNS otrávený, může vrátit nesprávnou adresu IP, přesměrování provozu na jiném počítači (často útočníka).
Cache poisoning útoky Extremní
Za normálních okolností, síťový počítač používá server DNS poskytované organizace počítači uživatele nebo poskytovatele služeb Internetu (ISP). DNS servery jsou většinou rozmístěny v síti organizace s cílem zlepšit výkon odezvy rozlišením ukládání do mezipaměti dříve získané výsledky dotazu. Otrava útoky na jediném serveru DNS může případně ovlivnit uživatele obsluhovány přímo ohrožena serveru nebo nepřímo jeho následný server (y).
Chcete-li provést cache poisoning útok, útočník využívá chybu v softwaru DNS. Pokud server neověřuje správně odpovědi DNS, aby bylo zajištěno, že jsou z autoritativního zdroje (například pomocí DNSSEC ), server skončí mezipaměti nesprávné údaje lokálně a sloužit jim, aby ostatním uživatelům, kteří dělají stejnou žádost.
Tato technika může být použita k přímým uživatelům internetových stránek na jiném místě, podle volby útočníka. Například útočník spoofs IP adresy DNS záznamy pro cílové webové stránky na daném serveru DNS, nahrazovat je s IP adresou serveru se ovládá. On pak vytvoří soubory na serveru se ovládá s názvy odpovídajícími těm, na cílovém serveru. Tyto soubory by mohly obsahovat škodlivý obsah, například počítačový červ nebo počítačový virus . Uživatel, jehož počítač je odkazoval se na otrávené DNS server by mohl být podvedeni, aby přijal obsah pocházející z non-autentické serveru a nevědomky stáhnout škodlivý obsah.
Varianty Extremní
V následujících variant položky na serveru ns.target . Například by bylo otrávené a přesměrován na nameserver útočníka na IP adresy WXYZ . Tyto útoky předpokládat, že nameserver pro target.example je ns.target.example .
Chcete-li provést útoky, musí útočník donutit server cílové DNS, aby žádost o doméně řízeného jedním z nameserverů útočníka.
Přesměrování jmenný server cílové domény Extremní
První varianta DNS cache poisoning zahrnuje přesměrování nameserver pro doménu útočníka na nameserver cílové domény, pak přiřazení že nameserver IP adresu zadanou útočníkem.
Žádost serveru DNS: jaké jsou záznamy o adresách subdomain.attacker.example ?
subdomain.attacker.example. IN A
Útočník odpověď:
Odpověď:
(Žádná odezva)
Úřad sekce:
attacker.example. 3600 IN NS ns.target.example.
Další sekce:
ns.target.example. VE WXYZ
Zranitelný server by mezipaměti další A-záznam (IP adresy) pro ns.target.example , který umožňuje útočníkovi řešit dotazy na celý target.example domény.
Přesměrování záznam NS do jiné cílové domény Extremní
Druhá varianta DNS cache poisoning zahrnuje přesměrování nameserver z jiné domény nesouvisí s původní požadavek na IP adresu zadanou útočníkem.
Žádost serveru DNS: jaké jsou záznamy o adresách subdomain.attacker.example ?
subdomain.attacker.example. IN A
Útočník odpověď:
Odpověď:
(Žádná odezva)
Úřad sekce:
target.example. 3600 IN NS ns.attacker.example.
Další sekce:
ns.attacker.example. VE WXYZ
Zranitelný server by mezipaměti informace nesouvisející orgánu pro target.example 's NS-záznamu (položka nameserver), který umožňuje útočníkovi řešit dotazy na celý target.example domény.
Prevence a zmírňování Extremní
Mnoho cache poisoning útoky mohou být zabráněno na DNS servery jsou méně důvěřivý informace předány k nim jiné DNS servery, a ignoruje všechny záznamy DNS předány zpět, které nejsou přímo relevantní k dotazu. Například verze BIND 9.5.0-P1 a zejména provádět tyto kontroly. Jak je uvedeno výše, zdrojový port randomizace pro DNS dotazy, v kombinaci s použitím kryptograficky-bezpečných náhodných čísel pro výběr jak zdrojový port a 16-bit šifrovací nonce , může výrazně snížit pravděpodobnost úspěšných závodních DNS útoků.
Nicméně routery, firewally, proxy servery a další bránách, které provádějí překlad síťových adres (NAT), nebo více specificky, adresa překlad portů (PAT), často přepisovat zdrojové porty, aby bylo možné sledovat stav připojení. Při změně zdrojové porty, PAT zařízení obvykle odstranit zdrojový port náhodnost implementované nameserverů a pahýl překladače.
Secure DNS ( DNSSEC ) používá šifrovací digitálních podpisů podepsaných s důvěryhodného veřejného klíče certifikátu pro určení pravosti dat. DNSSEC mohou čelit mezipaměti poisoning útoky, ale v roce 2008 byl ještě široce nasazen. V roce 2010 DNSSEC byl realizován v Internet kořenové zóny serverech. I když, někteří bezpečnostní experti tvrdí, s DNSSEC sama, aniž by na úrovni aplikace kryptografie, útočník ještě může poskytnout falešné údaje.
Tento typ útoku může být i zmírněny na transportní vrstvě nebo aplikační vrstvě provedením end-to-end ověření, jakmile je navázáno spojení. Běžným příkladem je použití Transport Layer Security a digitálních podpisů . Například pomocí protokolu HTTPS (zabezpečenou verzi protokolu HTTP ), mohou uživatelé zkontrolovat, zda digitální certifikát serveru je platná a patří do webové stránky očekávané majitele. Podobně, bezpečný shell program pro vzdálené přihlašování kontroly digitálních certifikátů v koncových bodech (pokud je známo) před zahájením zasedání. Pro aplikace, které se automaticky stahují aktualizace, aplikace může vložit kopii podpisového certifikátu místně a ověřit podpis uložený v aktualizaci softwaru proti vloženého certifikátu.
Inteligentní Anycast Cache Appliancees od společnosti Dell a TCPWave mít hlídací psi, které zajistí, že se DNS procesy nedostanou cache jed díky předem definované kořeny v hlídacích psů. Zdrojový port randomizace přes BIND zálohována pomocí non-BIND DNS serveru, softwaru s inteligencí příměsí do směrovacího protokolu BGP zmírňuje DNS anycast cache poisoning útoky uživatelů se zlými úmysly .