Pamięć podręczna DNS Cache – Wikipedia

L ‘ Trucizna pamięci podręcznej DNS , L ’ Uzurpacja DNS , albo Zanieczyszczenie pamięci podręcznej DNS ( Zatrucie pamięci podręcznej DNS W Podkład DNS , Lub Zanieczyszczenie pamięci podręcznej DNS W języku angielskim) jest techniką pozwalającą na zwabienie serwerów DNS, aby uwierzyli, że otrzymują ważną odpowiedź na złożoną prośbę, podczas gdy jest to nieuczciwe. Po zatruciu serwera DNS informacje są umieszczane w pamięci podręcznej, co czyni w ten sposób wszystkich użytkowników tego serwera. Ten rodzaj ataku pozwala na przykład wysłać użytkownika do fałszywej witryny, której treści można użyć do phishing (w przypadku DNS, mówimy o aptece) lub jako wektor wirusa i innych złośliwych zastosowań.

Komputer obecny w Internecie zwykle korzysta z serwera DNS zarządzanego przez dostawcę dostępu. Ten serwer DNS jest głównie ograniczony do użytkowników sieci dostawców dostępu, a jego pamięć podręczna zawiera część informacji repatriowanych w przeszłości. Atak zatrucia na jednym serwerze DNS dostawcy dostępu może wpłynąć na wszystkich jego użytkowników, bezpośrednio lub pośrednio, jeśli serwery niewolników zajmują się propagowaniem informacji.

Aby przeprowadzić atak zatrucia pamięci podręcznej, atakujący używa podatności serwera DNS, który następnie akceptuje nieprawidłowe informacje. Jeśli serwer nie potwierdza otrzymanych informacji i nie sprawdza, czy pochodzi z wiarygodnego źródła, wówczas przechowuje te błędne informacje w pamięci podręcznej. Następnie przekazuje je użytkownikom, którzy składają żądanie, o którym mowa w ataku.

Technikę tę można zastosować do zastąpienia treści, którą ofiary oczekują, przez inną treść. Atakujący może na przykład przekierować użytkownika witryny do innej witryny, której serwer jest naruszony lub utrzymywany przez atakującego. W zależności od rodzaju przeprowadzonego ataku i aby nie wzbudzić podejrzeń, nowa treść musi w jak największym stopniu przypominać oryginalną treść.

Ta manipulacja może mieć kilka celów:

• Rozmnażanie wirusów lub wersetu, czyniąc użytkownika, wierzy, że pobiera zdrowe pliki
• Wyłudzanie informacji ( apteka ) W celu zebrania danych osobowych, odzyskania haseł lub oszustw
• Kradzież tożsamości (zwracamy witrynę jednej osoby na drugą stronę)
• Atak na środkowego człowieka (atakujący upewnia się, że znajduje się w trakcie transakcji, aby je przechwycić, rozszyfrować i przekierowywać przejrzysty)
• Propaganda, protest (na przykład poprzez powrót witryny z partii politycznej do innej partii)
• Wojna elektroniczna (zakłócenia sieci poprzez powrót użytkowników do innych witryn, które nie pozwalają im wykonywać swojej pracy)
• Odmowa usługi (skierowanie do witryny nie istnieje, co sprawia, że ​​użytkownik uważa, że ​​serwer nie jest już dostępny) lub wojna handlowa (patrz dalej sprawa alternatywna)

Serwer DNS pozwala uzyskać adres IP celu od jego nazwy (na przykład wejście dla Fr.wikipedia.org Zwrot 145.97.39.155). Aby uzyskać ten adres IP, serwer może albo zapoznać się z jego pamięcią podręczną, jeśli informacje są tam, lub następnie rozprzestrzeniać żądanie, w kierunku innych serwerów w sposób rekurencyjny. Cała sieć jest zorganizowana zgodnie z drzewem podzielonym na obszary. W przypadku Fr.wikipedia.org , serwer DNS odpowiedzialny za domenę .org zostanie zakwestionowany, wskaże, który serwer może podać informacje o domenie wikipedia.org . Wreszcie, ten ostatni serwer wskazuje pełny adres IP Fr.wikipedia.org . Ważność komunikatów opiera się na identyfikatorze 16 -bitowym, który musi być taki sam podczas transakcji. Ponadto port i adres używany dla odpowiedzi muszą odpowiadać parametrom używanym podczas wysyłania żądania.

Atak oparty na paradoksie urodzin [[[ modyfikator |. Modyfikator i kod ]

Atak ten zaczyna się od zasady, że identyfikator 16 -bitowy nie gwarantuje wystarczającego bezpieczeństwa. Dzięki paradoksowi urodzinowym można rzeczywiście wygenerować dużą liczbę wiadomości, aby wpaść na prawidłowy identyfikator. Atak ma miejsce w następujący sposób i jest podobny do fałszowanie :

1. Alice wysyła dużą liczbę żądań do serwera docelowego A, określając nazwę domeny ( Fr.wikipedia.org ) które chciałaby uzyskać adres IP
2. Jednocześnie udaje, że jest kolejnym serwerem B, przygotowując odpowiedzi, które wyglądają tak, ale z losowymi identyfikatorami transakcji (w paradoksie urodzin), aby stworzyć taki pakiet oczekiwany przez cel serwerowy. Określa także nowy adres IP W.X.Y.Z
3. Jeśli pakiet odpowiada temu, czego oczekiwano przez serwer docelowy, wówczas ten, przy braku szczególnej ochrony, wkłada złośliwe informacje w pamięci podręcznej, gdzie pozostaje przez określony czas (zdefiniowany przez TTL, czas żyć )
4. Bob prosi o dostęp do Wikipedii, otrzymywany przez niego IP nie jest już Fr.wikipedia.org więcej W.X.Y.Z

Trudność tego ataku polega na określeniu portu, na którym serwer B zareaguje i uniemożliwia reagowanie prawdziwego serwera nazw na czas. Jeśli porty są losowe, atak będzie znacznie trudniejszy, ponieważ wymaga więcej postów. Niektóre ataki opierały się na fakcie, że generatory pseudo-randomych liczb serwerów nie stanowiły wystarczającego zagrożenia. Identyfikatory transakcji częściej pojawiły się niż inne, oferując atak na zwiększone prawdopodobieństwo sukcesu.

Rozwiązaniem tego problemu było zapobieganie wielu żądaniom z tego samego źródła dla tej samej nazwy domeny (to znaczy, że pojedyncze żądanie Alice dotyczącej Alice Fr.wikipedia.org jest traktowany oba).

wariant [[[ modyfikator |. Modyfikator i kod ]

Aby obejść problem związany z TTL, zamiast pobudzić prośbę o fr.wikipedia.org, pirat generuje serię żądań dla gospodarzy z tej samej subdomenu, na przykład xx.wikipedia.org i próbuje za każdym razem a Zatrucie, próbując odgadnąć numer transakcji. Odpowiedź nie jest w rejestracji na serwerze pirackim (którego IP wynosi 6,6.6.6), ale NS:

xx.wikipedia.org w ns fr.wikipedia.org
Fr.wikipedia.org w 6.6.6.6 

Drugim nagraniem jest następnie pamięć podręczna, która zapewnia sukces ataku. Haker może wysłać wiele odpowiedzi (tylko z prawidłowym numerem transakcji zostanie wzięte pod uwagę), a czas, jaki ma zależy od prędkości legalnego serwera DNS. Jeśli ta próba się nie powiedzie, może rozpocząć się natychmiast od innego gospodarza subdomeny, co znacznie zwiększa jego szanse na sukces. Serwery rekurencyjne są zasadniczo dostępne tylko dla niektórych adresów IP (klientów), haker może użyć fałszywego źródła adresu IP lub wygenerować ruch, który prawdopodobnie spowoduje DNS (SMTP Helo, skanowanie itp. Żądanie itp.).

Atak przez dodanie kilku rezolucji [[[ modyfikator |. Modyfikator i kod ]

Atakujący ma serwer nazw dla domeny (na przykład EmpoisonNement-dns.com ). Celem jest zanieczyszczenie pamięci podręcznej serwera docelowego w oparciu o podatność i postępowanie w następujący sposób:

1. Alice żąda adresu IP EmpoisonNement-dns.com do docelowego serwera
2. Serwer A nie ma tych informacji w pamięci podręcznej, a następnie kontaktuje się z serwerem nazw dla domeny
3. Serwer nazw, pod kontrolą atakującego, zwraca informacje dotyczące EmpoisonNement-dns.com , ale dodaje informacje dotyczące innych stron w swojej odpowiedzi, na przykład adres Fr.wikipedia.org że wskazuje na inną stronę, której adres IP jest W.X.Y.Z
4. Serwer wprowadza złośliwe informacje do pamięci podręcznej, w której pozostaje przez określony czas (określony przez TTL, czas żyć )
5. Bob prosi o dostęp do Wikipedii, otrzymywany przez niego IP nie jest już Fr.wikipedia.org , więcej W.X.Y.Z

Atak ten został użyty w czerwcu 1997 r. Przez Eugene’a Kashpieffa, który zarządzał alternatywnym serwerem DNS u podstaw systemu (o nazwie Alternic). Kashpieff przekierował ruch Inninic (jego bezpośredniego konkurenta) do miejsca alternatywnego ^{[[[ Pierwszy ]} . O imieniu Operacja DNS Storm , jego działanie sprawiło, że został zatrzymany kilka miesięcy później ^{[[[ 2 ]} .

Większość ataków można uniknąć, dodając dodatkowe kontrole. W przypadku ataku takiego jak Eugene Kashpieff parada polega na sprawdzeniu, że odpowiedź odpowiada temu, czego się spodziewano (wymagana nazwa domeny i nic innego) i zignorowanie go w przeciwnym przypadku. Ulepszenie generatorów liczb pseudo-lodowcowych za pomocą generatorów kryptograficznych dla 16-bitowego identyfikatora i portów ma ograniczone problemy na najczęściej używanych serwerach (w tym wiązanie ^{[[[ 3 ]} ). Ograniczenie wielu żądań dla tej samej nazwy z tego samego źródła częściowo zmniejszyło się przez paradoks urodzin, ale można je prowadzić z botnetu, który wymaga innych środków obrony do wykrywania prób tego typu.

Istnieje bezpieczna wersja DNS, DNSSEC, oparta na podpisach elektronicznych z certyfikatem, który umożliwia sprawdzenie autentyczności danych. Nawet jeśli pozostanie nierealizowany, należy zachęcić jego użycie. Zatrucie może być ograniczone do poziomu warstw transportu lub aplikacji dzięki uwierzytelnianiu interesariuszy za pośrednictwem TLS. Serwer DNS może zatem zapewnić, że otrzymuje informacje z zaufanego serwera. To samo dotyczy innych aplikacji, takich jak przeglądarki, które mogą sprawdzić autentyczność strony dzięki certyfikatom.

W lipcu 2008 r. Aktualizacje bezpieczeństwa dotyczące serwerów DNS zostały przeprowadzone przez dużą liczbę aktorów w oprogramowaniu bezpłatnym i właściciela. Aktualizacje te zostały zsynchronizowane, aby naprawić wadę odkrycia kilka miesięcy wcześniej przez Dana Kamińskiego (z firmy IOActive), która okazała się krytyczna. Ta wada została uznana za wystarczająco poważną, aby sekret mógł dotrzymać czasu na ustanowienie rozwiązań ochronnych ^{[[[ 4 ]} .