DNS cache poisoning

 

DNS cache poisoning je bezpečnost nebo integritu dat kompromis v Domain Name System (DNS). Kompromis nastává, když se data zavádí do DNS jméno serveru 'cache databáze je, že nepocházejí z autoritativních DNS zdrojů. To může být záměrný pokus o upraveného útok na jméno serveru. To může také být nezamýšlený důsledek chybným DNS cache nebo z nesprávného návrhu softwaru aplikací DNS.

Když server DNS získal, jako non-závazné údaje a uloží ji pro optimalizaci výkonu, to je považováno za otrávené , zásobování non-závazné údaje klientům serveru.

Doménový server přeloží název domény (např. example.com) do IP adresu , která hostí Internet používat kontaktovat internetové zdroje. Pokud server DNS je otrávená, může vrátit nesprávnou IP adresu, odklonění dopravy na jiný počítač.

Cache otravy útoky

Normálně, počítač v síti používá server DNS poskytované v počítači uživatele nebo organizace, poskytovatele služeb Internetu (ISP). DNS servery jsou většinou nasazeny v síti organizace s cílem zlepšit výkon usnesení reakci mezipaměti dříve získané výsledky dotazu. Otrava útoky na jediném serveru DNS může mít vliv na uživatele, servis přímo ohrožena server nebo nepřímo jeho následným server (y) v případě potřeby.

Chcete-li provést cache poisoning útok, útočník využije chybu v DNS softwaru. Pokud server neověřuje správně DNS odpovědí bylo zajištěno, že jsou z autoritativního zdroje (například pomocí DNSSEC), server skončí cache chybných záznamů lokálně a sloužit jim, aby ostatní uživatelé, které dělají stejnou žádost.

Tato technika může být použita k přímému uživatelům webové stránky na jiné místo útočníka výběru. Například útočník spoofs IP adresu DNS záznamy pro cílovou stránku na daném serveru DNS, nahrazovat je s IP adresou serveru, on řídí. On pak vytváří soubory na serveru se ovládací prvky s názvy jsou stejné jako ty na cílovém serveru. Tyto soubory mohou obsahovat škodlivý obsah, jako jsou počítače červ nebo počítačový virus . Uživatel, jehož počítač je odkazoval se na otrávenou DNS server by být podvedeni do přijímat obsah z non-závazné server a nevědomky stáhnout škodlivý obsah.

Varianty

V následující varianty, údaje pro server ns.target . příklad by byl otráven a přesměrován na útočníkův nameserver na IP adresu wxyz . Tyto útoky předpokládat, že nameserver protarget.example je ns.target.example .

K provedení útoků, útočník musí být síla cílový server DNS, aby žádost o doménu ovládané jedním z útočníka nameservery.

Přesměrování cílové domény nameserver

První varianta otravy DNS cache zahrnuje přesměrování nameserver o útočníka domény nameserver cílové domény, pak přiřazení že nameserver IP adresy specifikované útočníkem.

DNS serveru dotaz: Jaké jsou adresy záznamy subdomain.attacker.example ?

subdomain.attacker.example. V

Útočník odpověď:

Odpověď: (bez odpovědi)
Úřad sekci: attacker.example. 3600 v NS ns.target.example.
Další sekce: ns.target.example. V wxyz

Zranitelný server by cache dodatečné-záznam (IP adresa) pro ns.target.example , umožňující útočníkovi řešit dotazy na celou target.example domény.

Přesměrování NS záznam na jinou cílovou doménu

Druhá varianta otravy DNS cache zahrnuje přesměrování nameserver jiné domény nesouvisí s původní žádost, aby IP adresy uvedené v útočníkovi.

DNS serveru dotaz: Jaké jsou adresy záznamy subdomain.attacker.example ?

subdomain.attacker.example. V

Útočník odpověď:

Odpověď: (bez odpovědi)
Úřad sekci: target.example. 3600 v NS ns.attacker.example.
Další sekce: ns.attacker.example. V wxyz

Zranitelný server by cache nesouvisející orgánu informace o target.example 's NS-záznam (nameserverů vstup), což by útočníkovi umožnilo řešit dotazy na celou target.example domény.

Prevence a zmírňování následků

Mnoho útoků cache otravy lze zabránit na serverech DNS tím, že je méně důvěřují informacím, jež jim byly jiné DNS servery, a ignorovat všechny DNS záznamy předány zpět, které nejsou přímo relevantní k dotazu. Například verze BIND > = 9.5.0-P1 provádět tyto kontroly, ale pamatujte, že stále běží na nejnovější verzi. Jak je uvedeno výše, zdrojový port randomization pro DNS dotazů, v kombinaci s použitím cryptographically- bezpečné náhodných čísel pro výběr jak zdrojový port a 16-bitový šifrovací nonce , může výrazně snížit pravděpodobnost úspěšných útoků DNS závod.

Nicméně routery, firewally, proxy servery a další zařízení, která vykonávají brána překlad síťových adres (NAT), nebo více specificky, port překlad adres (PAT), často přepisovat zdrojové porty za účelem sledování stavu připojení. Při úpravách zdrojových portů, PAT zařízení obvykle odstranit zdrojový port náhodnost prováděn nameservery a pahýl resolvery

Open source řešení je ArpON "ARP psovod inspekce". Jedná se o přenosný handler démon, které ARP zabezpečit, aby se zabránilo muž uprostřed (MITM) přes ARP umožňující umísťování falešného obsahu / otrava útoky. Detekuje a blokuje také odvozen útoky to pro složitější útoky, jako jsou: DHCP umožňující umísťování falešného obsahu, DNS umísťování falešného obsahu, WEB umožňující umísťování falešného obsahu, únos a SSL / TLS únos a co útoky.

Bezpečné DNS ( DNSSEC ) používá šifrovací elektronické podpisy podepsal s důvěryhodný veřejný klíč certifikátu pro určení pravosti dat. DNSSEC lze čelit útokům otravy cache, ale roku 2008 byl dosud zavedeny v širokém měřítku. V roce 2010 byla provedena DNSSEC v zóně Internet serverech root.

Tento druh útoku může být zmírněna na transportní vrstvy nebo aplikační vrstvě provedením end-to-end validace, jakmile je navázáno. Obyčejný příklad tohoto je použití Transport Layer Security a digitální podpisy . Například pomocí zabezpečenou verzi protokolu HTTP , HTTPS , uživatelé mohou zkontrolovat, zda na serveru digitální certifikát je platný a patří do webových stránek očekávané majitele. Podobně, Secure Shell vzdálené přihlášení program kontroly digitálních certifikátů v koncových bodech (pokud je známo), před pokračováním zasedání. Pro aplikace, které automatické stahování aktualizací, aplikace může vložit kopii podpisového certifikátu místně a ověřit podpis uložen v aktualizaci softwaru proti vloženého certifikátu.