Отравление кэша DNS: схема реализации и методы защиты

По мере того как пользователи становятся все более осведомленными относительно сетевых угроз, создатели вредоносов придумывают все более изощренные техники кражи персональной информации. Отравление кэша DNS (или DNS-спуфинг) – один из наиболее хитрых методов перенаправить потенциальную жертву на вредоносный сайт.

Рассмотрим подробнее схему реализации и методы защиты от подобного рода атак.

URL и IP-адрес

Когда вы хотите посетить сайт, то обычно вводите URL в адресной строке браузера. Например, если бы вы захотели проверить банковский счет, то ввели бы адрес навроде www.mybanksaddress.com.

Однако компьютер понимает не URL’ы, а IP-адреса, представляющие собой последовательности чисел и являющиеся «домашними адресами» устройств в интернете. В подавляющем большинстве случаев используются URL’ы, поскольку запоминаются намного проще, чем IP-адреса.

Как работает DNS сервер

Чтобы попасть в «пункт назначения», компьютер должен преобразовать указанный URL в IP-адрес при помощи DNS сервера.

DNS сервер можно сравнить с огромной телефонной книгой, но только для сайтов. После отсылки компьютером веденного URL’а, DNS сервер ищет в своей базе и сообщает компьютеру найденный IP-адрес. Теперь, когда связь между URL и IP-адресов установлена, компьютер сможет добраться до сайта.

Как работает кэш в DNS

Поскольку IP-адреса меняются не так часто (если вообще меняются), компьютер сохраняет связь между IP-адресом и URL’ом www.mybanksaddress.com в кэше на будущее.

Теперь, когда вы захотите повторно проверить банковский счет, нет нужды обращаться к DNS серверу еще раз, поскольку компьютер найдет нужный IP-адрес в кэше, сохраненным после недавнего визита. Можно сказать, что кэш DNS похож на миниатюрную телефонную книгу, где хранятся адреса сайтов, которые вы уже посещали.

Как «отравляется» кэш DNS?

После ознакомления с основами рассмотрим, как злоумышленник может «отравить» кэш DNS.

Когда компьютер использует кэш, то не отлеживает обновление IP-адреса с момента последнего посещения сайта указанного сайта. В некотором смысле кэш DNS схож с памятью компьютера. Если значения внутри кэша изменились, компьютер, ничего не подозревая, будет использовать обновленное значение.

«Отравление» происходит либо при помощи вредоносов, либо через прямой доступ к компьютеру жертвы. Основная цель злоумышленника — получить доступ к кэшу DNS и найти, где хранится адрес www.mybanksaddress.com.

Предположим, что ваш кэш был атакован и IP-адрес банковского сайта изменен. Теперь во время ввода соответствующего URL’а компьютер находит в кэше вредоносный IP-адрес и переходит на поддельный сайт.

Если все прошло достаточно гладко, вы даже не заметите подделку, введете логин и пароль на сайте, находящимся под контролем злоумышленника, и, соответственно, ваша учетная запись будет скомпрометирована.

Уязвимы ли DNS сервера?

Поскольку компьютеры общаются с DNS сервером для получения IP-адреса, сразу же возникает вопрос, могут ли хакеры пойти альтернативным путем и взломать сам сервер? К сожалению, да. И последствия могут оказаться катастрофическими.

DNS сервера работают сродни вашему компьютеру. В случае поступление запроса на получение IP-адреса если сервер не знает, куда перенаправить пользователя, то делает запрос к другим DNS серверам, которые также хранят кэши.

Если злоумышленнику удается получить доступ к DNS серверу, то после изменения базы данных, пользователи могут быть перенаправлены куда угодно. Теперь каждый компьютер, отправляющий запрос к скомпрометированному серверу на получение IP-адреса, будет получать «отравленный» результат.

Более того, сервера, не имеющие информации об IP-адресах для конкретного сайта, будут делать запрос к скомпрометированному серверу, что приведет к цепочке заражений.

Как избежать отравления кэша

Как бы ужасно не выглядела тема, связанная с отравлением кэша, существуют методы противодействия этой угрозе.

1. Регулярно обновляйте антивирус

В хорошем антивирусе должны быть реализованы средства защиты от отравления кэша DNS. Поскольку интернет полон разных рисков, важно использовать современные средства противодействия угрозам, желательно в режиме реального времени. Рекомендуем устанавливать проверенные антивирусы, некоторые из которых даже бесплатны.

2. Не загружайте подозрительные файлы

Риск стать жертвой отравления кэша DNS станет еще меньше, если вы не будете загружать сомнительные файлы и кликать на подозрительные ссылки и баннеры, часто используемые для распространения вредоносов, заточенных в то числе и на изменение кэша.

3. Используйте проверенные сервера

После того как предприняты базовые меры безопасности, настало время задуматься о DNS серверах.

Хороший DNS сервер никогда не будет доверять первому попавшемуся ответу от другого сервера, а будет перепроверять полученную информацию до тех пор, пока не будет полной уверенности в отсутствии отправления. Используя надежные сервера, вы можете быть уверенными в легитимности ответов на отправляемые запросы.

Обычно используются DNS сервера, предоставляемые провайдером. Соответственно, надо пользоваться таким провайдером, который придерживается высоких стандартов безопасности.

Альтернативный вариант: использовать независимые DNS сервера с хорошей репутацией.

4. Периодически удаляйте кэш

В случае каких-либо подозрений немедленно обнуляйте кэш DNS, и еще раз проверьте сервера, которыми вы пользуетесь. Конкретные методы удаления кэша зависят от используемой операционной системы.

5. Тщательно перепроверяйте посещаемые сайты

При посещении важных сайтов, как, например, интернет-банка, всегда следует проявлять особую бдительность. К сожалению, URL поддельного сайта может выглядеть именно так, как вы ввели, поскольку компьютер полагает, что получен легитимный IP-адрес.

Однако если вы заметили отсутствие HTTPS-шифрования или нечто подозрительное, высока вероятность, что вы находитесь на поддельном сайте. В этом случае не следует вводить логин с паролем, тут же проверить систему на вирусы и очистить кэш.

6. Перезагружайте роутер

Роутеры также могут хранить собственный кэш DNS, который также может оказаться отравленным. Для большей уверенности в безопасности следует периодически перезагружать роутер с целью сброса кэша.

Заключение

DNS сервера ускоряют просмотр страниц, но также могут стать причиной серьезных неприятностей. Однако если вы предпримите хотя бы базовые методы защиты, то никогда не станете жертвой атак, связанных с отравлением кэша DNS.

Источник: securitylab.ru

Новые Технологии