Подмена DNS: как это работает и как от этого защититься

Существует множество способов вмешательства в процесс разрешения имен в Интернете. Одной из таких атак является подмена DNS, которая заключается в создании поддельных IP-адресов. Здесь вы узнаете, как это делается, для чего это нужно, различные методы такой атаки и как от нее защититься.

Система доменных имен (DNS) — это распределенная система, используемая во всем мире для преобразования доменных имен в IP-адреса. DNS возвращает IP-адрес, присвоенный определенному доменному имени. Этот процесс называется разрешением имен.

Чтобы разрешение имен работало, IP-адрес DNS-сервера должен храниться на каждом устройстве. Устройство направляет свой DNS-запрос этому серверу, который выполняет разрешение имен и возвращает ответ. Если на устройстве не было сохранено ни одного DNS-сервера, автоматически будет использован сервер локального маршрутизатора.

Термин спуфинг означает «обман» или «подделка». Подделка DNS относится к различным ситуациям, когда разрешение имен DNS подделывается — в частности, подделывается IP-адрес доменного имени. Это означает, что устройство устанавливает соединение с поддельным IP-адресом и трафик данных перенаправляется на поддельный сервер. Вот пример:

Поскольку разрешение имен происходит в основном в фоновом режиме, жертва обычно не замечает подмены. Особенно коварной особенностью подмены DNS является тот факт, что в браузере отображается правильное доменное имя.

Подмена DNS — это собирательный термин для обозначения различных методов атаки. Различные методы описаны ниже. Следующая схема объясняет основы подмены DNS.

• d1. Клиент (например, браузер на устройстве) сначала запрашивает у DNS-сервера IP-адрес для имени хоста example.com.
• d2. Клиент получает ответ на запрос, но он содержит поддельный IP-адрес. Соединение с реальным сервером для example.com не устанавливается.
• h1. Вместо этого клиент отправляет запрос на вредоносный узел, скрывающийся за поддельным IP-адресом.
• h2. Вредоносный хост возвращает клиенту то, что выглядит как страница легитимного веб-сайта. Однако на поддельном доменном имени отсутствует сертификат безопасности, что делает атаку видимой.
• (A, B, C): Это различные точки атаки для подмены DNS: на стороне клиента или локального маршрутизатора, на сетевом соединении и на DNS-сервере.

Подмена DNS в основном используется злоумышленниками для проведения атак — обычно для кражи конфиденциальных данных пользователей. Однако и легальные компании время от времени прибегают к подмене DNS. Известно, что некоторые интернет-провайдеры (ISP) используют подмену DNS для введения цензуры и в рекламных целях.

Злоумышленники используют подмену DNS для фишинговых и фарминговых атак с целью перехвата конфиденциальных данных пользователя. Подмена DNS заставляет жертву поверить, что она попала на легитимный домен, и использует доверие жертвы, чтобы заразить ее вредоносным ПО и инфицировать ее собственную систему.

Большинство людей не знают, что они используют DNS-сервер, принадлежащий их интернет-провайдеру. Обычно он предварительно настроен в локальном маршрутизаторе. Поэтому каждый запрос DNS находится под контролем интернет-провайдера.

Например, интернет-провайдеры могут специально изменять свои таблицы DNS для выполнения требований государственной цензуры. Во многих странах это делается для того, чтобы предотвратить доступ пользователей к файлообменным или порнографическим доменам. Если пользователь попытается зайти на заблокированный домен, он будет перенаправлен на страницу с предупреждением. Однако эти ограничения можно обойти с минимальными усилиями, используя DNS-сервер без цензуры.

Этот же трюк (перенаправление пользователя на другую страницу при доступе к определенным доменам) используется для сбора данных пользователей в рекламных целях. Интернет-провайдеры используют DNS hijacking для перенаправления пользователя на определенную страницу при вводе несуществующих или неправильно написанных доменов. Эта страница может воспроизводить рекламу или создавать профили пользователей, чтобы затем выгодно продать их.

DNS — это фундаментально полезная технология. Практически каждое соединение использует ее для разрешения имен. Другими словами, подмена DNS может повлиять на каждое соединение, установленное клиентом. Заходит ли жертва на веб-сайт или отправляет электронное письмо: если IP-адрес соответствующего сервера подделан, злоумышленник может получить доступ к ее данным.

Подмена DNS представляет, в частности, следующие риски:

• Кража конфиденциальных данных: Спир-фишинг и фарминг-атаки используются для кражи конфиденциальных данных, таких как пароли. Эти методы часто используются для взлома компьютерных систем или для различных афер.
• Заражение системы вредоносным ПО: Жертву обманом заставляют установить вредоносное ПО на собственную систему. Это открывает возможности для дальнейших атак и масштабного шпионажа.
• Сбор полных профилей пользователей: В процессе собираются личные данные, которые затем продаются или используются для дополнительных целевых атак методом spear phishing.
• Может представлять постоянную угрозу: Если в системе установлен вредоносный DNS-сервер, то с этого момента связь будет нарушена. Даже временные поддельные ответы DNS могут оставаться в кэше и наносить ущерб в течение длительного времени.

Вот конкретный пример. Волна атак с подменой DNS произошла весной 2020 года во время пандемии COVID-19. Это был взлом маршрутизатора, когда для DNS-сервера на маршрутизаторе вводится вредоносный IP-адрес. Атака стала возможной из-за попытки небезопасного доступа администратора к маршрутизатору. Жертва внезапно получала предупреждение якобы от Всемирной организации здравоохранения. В нем говорилось, что они собираются установить информационное приложение COVID-19. На самом деле это программное обеспечение было троянским вредоносным ПО. Если доверчивая жертва устанавливала троянца, он искал локальную систему и пытался получить доступ к конфиденциальным данным. Цель заключалась в создании всеобъемлющего профиля, который можно было бы использовать в будущих фишинговых атаках на жертву. Перехваченные данные включали следующее:

• Cookies (браузер)
• история просмотров
• платежная информация (браузер)
• Сохраненная информация для входа в систему (браузер)
• Сохраненная информация о форме (браузер)
• Криптовалютные кошельки
• Все текстовые файлы на устройстве
• Базы данных для двухфакторной аутентификации (2fa)

Следующие три типа атак относятся к приведенной выше диаграмме (A-C).

Этот тип атаки с подменой DNS предполагает злонамеренное вмешательство в работу локального устройства или домашнего маршрутизатора. Поначалу жертве кажется, что все в порядке. Устройство подключается к DNS-серверу как обычно. Однако для запрошенных имен хостов могут быть получены вредоносные IP-адреса.

При такой атаке угроза будет сохраняться до тех пор, пока вмешательство не будет устранено. Тем не менее, злоумышленнику необходим вектор атаки, чтобы подделать что-либо. Это может быть технический фактор, например, открытый доступ администратора, слабый пароль или что-то подобное. Злоумышленник также может использовать социальную инженерию, чтобы убедить жертву добросовестно внести изменения самостоятельно.

Атака с подменой DNS, известная как «локальный перехват», устанавливает IP-адрес DNS-сервера на вредоносный адрес в сетевых настройках локального устройства.

Это изменение может быть обнаружено жертвой и легко отменено. Однако такая форма взлома часто сопровождается вредоносным ПО, которое может восстановить вредоносную запись, если жертва ее изменит.

Большинство операционных систем используют файл «hosts» для разрешения имен определенных доменов на локальной системе. Если в этот файл поместить вредоносную запись, трафик данных будет перенаправлен на сервер, контролируемый злоумышленником.

Этот тип фальсификации является постоянным. Однако он может быть легко обнаружен опытной жертвой. Чтобы решить эту проблему, достаточно изменить файл hosts.

IP-адрес DNS-сервера интернет-провайдера по умолчанию установлен на локальном маршрутизаторе. При «перехвате маршрутизатора» он заменяется на вредоносный адрес. Эта атака представляет угрозу для всего трафика данных, проходящего через маршрутизатор. Поскольку в семье обычно есть несколько устройств, которые используют маршрутизатор для установления соединения, жертвами атаки могут стать несколько сторон.

Многие пользователи не знают, что могут самостоятельно настроить свой маршрутизатор. Таким образом, эта атака часто остается незамеченной в течение длительного времени. Если позже возникнут какие-либо проблемы, жертвы, скорее всего, заподозрят, что источником является их собственное устройство, а не маршрутизатор. Поэтому в случае возникновения каких-либо странных проблем стоит подумать о том, что источником ошибки может быть маршрутизатор.

Этот тип подмены DNS представляет собой атаку «человек посередине». Злоумышленник выдает себя за DNS-сервер жертвы и отправляет ему вредоносный ответ. Этот тип атаки работает потому, что трафик DNS использует незашифрованный протокол User Datagram Protocol (UDP). У жертвы нет возможности проверить подлинность ответа DNS.

Для получения доступа к локальной сети могут быть использованы и другие виды атак, такие как ARP-спуфинг и MAC-спуфинг. Использование технологий шифрования защищает от многих атак типа «человек посередине».

Этот тип атаки с подменой DNS направлен на легитимный DNS-сервер и может затронуть большое количество пользователей. Это высокоуровневый тип атаки, поскольку для взлома сервера обычно необходимо преодолеть множество механизмов безопасности.

DNS-серверы расположены в иерархии и взаимодействуют друг с другом. Злоумышленник может использовать IP-спуфинг, чтобы притвориться одним из этих серверов и обманом заставить сервер принять ложный IP-адрес для домена. Сервер помещает вредоносную запись в свой кэш и начинает его «отравлять».

Любой запрос к серверу после отравления кэша приведет к тому, что вредоносная запись будет возвращена жертве. Угроза будет сохраняться до тех пор, пока запись не будет удалена из кэша. Расширение DNSSEC служит в качестве механизма безопасности на стороне сервера. Его можно использовать для защиты серверного взаимодействия в DNS.

Этот тип атаки, также известный как «захват неавторизованного сервера», вероятно, является самым сложным видом DNS-атак. При этом злоумышленник получает контроль над легитимным DNS-сервером. После взлома даже самое современное шифрование DNS не обеспечит никакой защиты. Однако шифрование содержимого должно, по крайней мере, предупредить жертву об атаке.

Как видите, подмена DNS представляет собой серьезную угрозу. К счастью, существует ряд простых мер, которые обеспечивают эффективную защиту от DNS-спуфинга.

Методы шифрования обычно дают два ключевых преимущества:

1. Данные защищены от несанкционированного доступа третьих лиц.
2. Обеспечивается подлинность общающейся стороны.

Последний пункт имеет решающее значение в борьбе с подделкой DNS. Если злоумышленник попытается выдать себя за легитимный хост, это приведет к ошибке сертификата на стороне пользователя, и попытка подмены будет обнаружена.

Для обеспечения базового уровня безопасности следует защищать как можно больше соединений, используя распространенный метод транспортного шифрования. Предпочтительно, чтобы доступ к веб-сайтам осуществлялся в браузере с использованием HTTPS. Популярное дополнение к браузеру HTTPS Everywhere обеспечивает безопасность соединений с веб-сайтами, передающими содержимое как по HTTP, так и по HTTPS. Вы также должны убедиться, что соединения, настроенные в вашем почтовом клиенте (например, IMAP, POP3 и SMTP-соединения), используют безопасные протоколы, такие как TLS и SSL.

Если ваши соединения защищены транспортным шифрованием, вы, по крайней мере, сможете обнаружить атаку подмены DNS. Поскольку у вредоносного узла нет сертификата безопасности, который был бы у настоящего узла, браузер и почтовый клиент отправят предупреждение при установлении соединения. Это даст вам возможность прервать соединение и применить дополнительные меры безопасности.

В то время как шифрование транспорта обеспечивает безопасность передачи данных, соединение с DNS-сервером остается уязвимым и считается самым слабым звеном. Однако существуют специальные решения для шифрования DNS-запросов на стороне пользователя. Наиболее известными из них являются DNSCrypt, DNS через HTTPS (DoH) и DNS через TLS (DoT). Все эти технологии обеспечивают защиту от опасных атак типа «человек посередине». Однако ни одно из этих трех решений не поставляется предварительно интегрированным со стандартными операционными системами таким образом, чтобы это подходило для массового рынка. Кроме того, чтобы шифрование DNS работало, DNS-сервер также должен поддерживать соответствующую технологию безопасности.

Помимо шифрования транспорта и защиты соединения DNS-сервера, использование виртуальной частной сети (VPN) также может помочь защитить от подмены DNS. При использовании VPN все соединения направляются через зашифрованный туннель. Однако следует помнить, что IP-адрес DNS-сервера может быть сохранен в большинстве программ VPN. Если это вредоносный адрес, то защита VPN от подмены DNS будет неэффективной.

Если вы не хотите тратить много времени на выбор поставщика VPN, вы можете воспользоваться бесплатным приложением Warp от Cloudflare. Оно обеспечивает функциональность VPN и шифрование DNS через публичную сеть DNS-резольвера Cloudflare 1.1.1.1 (подробнее см. ниже).

В дополнение к дополнительной безопасности, приложение имеет чрезвычайно удобный интерфейс. В настоящее время приложение доступно на мобильных устройствах, а в будущем появится и на настольных компьютерах под управлением Windows и macOS.

Одной из наиболее эффективных мер безопасности против подмены DNS является использование публичного DNS-резольвера. Настройка достаточно проста, чтобы практически любой пользователь смог настроить свое устройство для его использования. Все, что вам нужно сделать, это изменить DNS-сервер, введенный в вашей системе. Например, вы можете использовать сеть резолверов, предоставляемую некоммерческой организацией Quad9, которая носит такое же название.

Использование публичного DNS-резолвера дает следующие преимущества:

• Высокая скорость ответов DNS: В крупных сетях DNS-резолверов работают десятки серверов по всему миру. Благодаря маршрутизации Anycast для разрешения имен всегда используется физически ближайший сервер, что отражается в коротком времени отклика.
• Высокий уровень защиты данных и анонимности: Многие интернет-провайдеры продают своим клиентам данные, которые генерируются в результате DNS-трафика. Эти популярные публичные разрешители обычно практически не хранят данные пользователей, обеспечивая высокий уровень защиты данных и анонимности.
• Не применяет меры цензуры: Правила государственной цензуры действуют только в пределах национальных границ. Интернет-провайдеры обычно работают в стране проживания своих клиентов и обязаны обеспечивать соблюдение государственной цензуры. Однако сеть резолверов, расположенная за рубежом, может предлагать свои услуги по всему миру, не обращая внимания на государственную цензуру.
• Поддерживает современные стандарты безопасности: Крупные публичные сети DNS-резолверов специализируются на ответах на DNS-запросы. Они часто являются первопроходцами в использовании современных стандартов безопасности, таких как DNSSEC, DoH, DoT и DNSCrypt.
• Блокировка вредоносных доменов: Использование публичной сети DNS-резолверов также может помочь в защите от вредоносных программ и фишинга, поскольку они ведут черные списки известных вредоносных доменов. При попытке доступа к таким доменам пользователь будет перенаправлен на страницу с предупреждением.

В следующей таблице представлен обзор популярных публичных сетей DNS-резолверов. В соответствии с принятой конвенцией, каждая сеть резолверов настроена избыточно на два IP-адреса. Если первый из двух серверов недоступен, используется второй. Некоторые сети резолверов предлагают дополнительные IP-адреса, которые можно использовать для активации дополнительных функций, например, для защиты несовершеннолетних.