Атаката на DNS или кошмар мрежов администратор на

Атака по DNS
или
администратор Кошмар мрежа

Като един от ключовите елементи на инфраструктурата IP-базирани мрежи, име служба за домейни (DNS) в същото време далеч не е идеална от гледна точка на сигурността на информацията. Използването на транспортен протокол, без създаване на виртуален канал (UDP), липсата на вградени средства за идентификация, автентификация и контрол на достъпа направи уязвими към външни атаки, от различни видове.

Тази статия се обсъждат между сегментите дистанционно атака срещу DNS-сървъра не изисква тежки условия и позволява ефективно практическо приложение.

1. DNS птичи поглед

Основният източник на информация за всеки домейн е отговорен за домейн DNS-сървър (в действителност, може да има няколко). Отговорността за информация домейн част (поддомейни) може да бъде делегирана на други сървъри

Клиентската част се нарича DNS резолвера (за преобразуване), достъпът до който заявленията получите чрез приложния програмен интерфейс на операционната система. Когато взаимодейства със сървъра на резолвера се използва като UDP транспортен протокол, който не включва формирането на виртуален канал. Изисква генерирани резолвер са рекурсивни, т.е. като отговор на запитване или се връща на необходимата информация, или липсата на такова съобщение.

Получаване на заявка от сървъра за преобразуване от двете връща отговор веднага (в зависимост от наличността на желаната информация в локалната база данни), или генерира искане на друг сървър. Това искане обикновено е повтарящ се и, за разлика от рекурсивни, дава възможност за отговор под формата на линк към друг сървър, че е по-добре информирани за мястото на разположение на желаната информация.

Като цяло, търсенето започва с корен сървър, който връща информация за сървърите, отговарящи за домейни от първо ниво, а след това, нов итеративно запитване до един от тези сървъри и т.н. Резултатът от тази верига от въпроси и отговори или се получи желаната информация, нито да сключва отсъствието си, и в резултат на реакцията се връща за преобразуване. Всички натрупани сървъра по време на информацията за операция се кешира за ускоряване на услуги следващи заявки и свеждане до минимум на мрежовия трафик.

2. Inter-сегмент отдалечен атака DNS-сървъра

Ако има възможност за някой хакер да прихване съобщенията, обменяни между клиент и сървър (между сегментите атака) изпълнението на атаката не представлява никакви затруднения. Въпреки това, тази опция не е много практичен интерес, тъй като възможността за между сегментите атака предполага определено място взаимно клиента, сървърът и домакин на нападателя (например, на нападателя и делът на целевата DNS-сървър и съща физическа преносна среда), който се реализира на практика доста рядко.

Много по-общ случай е между сегментите атака не се изисква за прилагането му такива тежки условия. Поради тази причина, ние ще се съсредоточи върху разглеждането на този конкретен клас на външни атаки, както от академичната и практически интерес.

Очевидно е, че изпълнението на първия и четвъртия условия не е за да атакува особено затруднение. Второто и третото условията на ситуацията е много по-сложно, тъй като в случай на нападения между сегментите на нападателя не е възможно да се намеси с първоначалното искане и "шпионин" на необходимите параметри.

Повечето от използваните в момента DNS-сървър имплементации (BIND4, MS DNS) се използва за изходящи порт 53, така че това може да бъде "добър късмет" изпрати грешен отговор към този порт. Въпреки това, този метод не винаги ще работи като, например, BIND8 да използвате всяка произволно избрана непривилегирован порт за изходящи запитвания.

идентификатор (ID) заявката е двубайтово номер, посочен от сървъра в искането за да еднозначно идентифициране на отговор на искането. Този брой се увеличава с всяко ново искане. Без да знае текущата стойност идентификатор води до необходимост от изпращане на множество фалшиви отговори с различни стойности за самоличност.

Именно този факт прави практическото изпълнение на тази атака е много трудна за изпълнение. Наистина, паразитни излъчвания, трябва да се получи в интервал време на целевия сървър от изпращане на искане до момента на пристигане на отговор от страна на сървъра, което на практика е не повече от няколко секунди. По време на този период от време, на нападателя трябва да изпрати 216 фалшиви отговори на всички възможни стойности на номер, в случай на пристанището на невежеството, тази цифра се увеличава дори десетки пъти. Тъй като размерът на IP-пакет, съдържащ неверни отговори, че е около 100 байта, че в повечето случаи неизпълнимо преди да атакуват задачата плюс няколко мегабайта информация за няколко секунди.

3. Методът за определяне на номера на порта и идентификаторът на текущата заявка

В присъствието на контролираното сървър атаката е описано може да се изменя, както следва. Да предположим, че за определеност, че контролите на нападателя ns.hacker.com сървър. отговорен за домейн hacker.com. В първата фаза на атаката ни провокира сървъра ns.victim.com да се обжалва пред ns.hacker.com чрез изпращане на рекурсивни заявки за търсене на информация за всяко име (не задължително в реално) в hacker.com домейн. От ns.hacker.com е под контрол на нападателя, той може да прихване искането и извличане на информация от него за номера на порта и текущата идентификация.

Следващите две фази на атаката не се различават от тези, описани, с единствената разлика, че сега достатъчно нападателя да изпрати няколко неверни положителни резултати, защото той знае номера на порта и може много точно да предвиди стойността на искане идентификатор, за да ns.coolsite.com.

4. Методът на непрякото провокация

Ясно е, че необходимо условие за успеха на тази атака е възможността за изпращане на рекурсивни запитвания към сървъра приемник, го провокира да подаде жалба до други сървъри, за да открие исканата информация. По принцип е възможно да конфигурирате DNS-сървър, така че тя ще приеме рекурсивни запитвания само от "своите" клиенти (домакини, преобразуватели, които са конфигурирани да използват този сървър). В този случай, прилагането на атака става невъзможно.

За да се избегне това ограничение, можете да предложите един прост метод, който обикновено се нарича "непряка провокация". Основната идея на този метод е използването на всяка обществена услуга, която е клиент на целевата DNS-сървъра, за да се създаде необходимата провокативен искането. В най-подходящия кандидат изглежда сървъра обществена електронна поща, които по дефиниция трябва да приема връзки от всеки компютър с интернет. Да приемем, че резолвера на компютъра mail.victim.com е конфигуриран да използва ns.victim.com сървър. последният приема рекурсивни запитвания само от victim.com домейн. Следващият SMTP провокира диалог ns.victim.com търсене на информация от името на any-name.any-domain.com:

По този начин, прилагането на метода на "непряка провокация" позволява директна атака, без да изпраща искания до целевата DNS-сървъра.

5. Като има епидемии

При нормални обстоятелства, успешна атака води до "замърсяване" на даден кеш сървър, а площта на разпространение на невярна информация е ограничено само от своите клиенти. Въпреки това, ако е налице ситуация на "неправилно делегация" (куца делегация), произтичащи от грешки на администрацията могат да се разпространяват невярна информация на други сървъри, което ще доведе до глобална "инфекция".

При неправилно делегация разбира ситуацията, когато отговорността за домейна е делегирана на сървъра, който не разполага с локално копие на информацията на домейна. Това води до факта, че в отговор на повтарящи се въпроси към други сървъри вместо исканата информация, той се връща препратка към друг сървър (а понякога и сам себе си), че от гледна точка на сървъра на, разполага с необходимата информация.

Неприятна особеност на този сценарий е невъзможността да се бързо елиминиране на последиците от нападението, защото невярна информация ще бъде в кешовете хиляди сървъри преди изтичането на времето на живот, който нападателят да изберете много голям.

6. Прилагане и полеви изпитания

7. Поглед от другата страна на барикадата

За съжаление, на желания резултат само може мащабна въвеждането на нови протоколи, което е свързано със значителни организационни затруднения и не може да се направи за кратко време.

При използване на този метод не трябва да се забравя, че тази защита може да бъде сравнително лесно преодолени чрез използване на метода, описан непряк провокация.

В същото време, на характера и мащаба на резултатите от тази атака може да бъде класифицирано като до информацията на оръжия за масово унищожение. Липсата на адекватни средства за защита, че е много леки следи от трудността на ликвидиране на последствията от атаките утежни още повече ситуацията.