Битсквоттинг — регистрация доменных имён, которые отличаются на один бит от оригинальных. По аналогии с тайпосквоттингом, когда регистрируются домены, отличающиеся на один символ от оригинальных. Тайпосквоттеры рассчитывают на опечатку пользователя при вводе URL в адресную строку или осуществляют фишинговую атак, когда пользователь может просто не заметить отличия в один символ.
Битсквоттинг по форме похож на тайпосквоттинг, но придуман совершенно для других целей. Здесь расчёт идёт не на человеческую, а на аппаратную ошибку. Не секрет, что в различном оборудовании постоянно происходят случайные сбои. Битсквоттинг делает ставку на то, что какое-нибудь из подключённых к интернету устройств случайно ошибётся и изменит один нужный бит в DNS-запросе, так что трафик пойдёт вместо оригинального сайта на сайт злоумышленника. Это похоже на лотерею, и шансы на «правильную» ошибку в конкретном устройстве чрезвычайно малы, но нужно учитывать, что к сети подключено более 5 миллиардов устройств, а сбои в RAM происходят постоянно на каждом устройстве.
Например, вот бинарное представление адреса cnn.com.
| 01100011 | 01101110 | 01101110 | 0101110 | 01100011 | 01101111 | 01101101 |
| c | n | n | . | c | o | m |
Если из-за ошибки в памяти всего один поменяется с 0 на 1, то запрос пойдёт к другому домену con.com. Это может быть ошибка в стеке TCP/IP, в памяти маршрутизатора, в браузере и т.д., на любом этапе обработки запроса.
| 01100011 | 01101111 | 01101110 | 0101110 | 01100011 | 01101111 | 01101101 |
| c | o | n | . | c | o | m |
Теоретически, к такой атаке уязвимы абсолютно все платформы и все версии ОС, и не требуется написание эксплойтов.
Идею выдвинул хакер Артём Динабург (Artem Dinaburg), к прошлогодней конференции Blackhat он подготовил доклад. В Сети есть также слайды его презентации с Defcon 19, ниже — видеозапись презентации по этим слайдам.
Автор объясняет, что для такого типа атаки нужно выбирать домены CDN и рекламных сетей, контент с которых подгружается на тысячи популярных сайтов. Это такие домены, как fbcdn.net, 2mdn.net и akamai.com.
Для проверки своей теории Динабург зарегистрировал 32 домена методом битсквоттинга — и оказалось, что теория вполне работает. К сайтам действительно поступали DNS-запросы и HTTP-запросы, и подключались сторонние устройства. За семь с половиной месяцев эксперимента поступило в общей сложности 52317 запросов с 12949 уникальных IP-адресов. В среднем, запросы шли с 59 уникальных IP-адресов в день.
Список адресов, которые принимали участие в эксперименте: ikamai.net, aeazon.com, a-azon.com, amazgn.com, microsmft.com, micrgsoft.com, miarosoft.com, iicrosoft.com, microsnft.com, mhcrosoft.com, eicrosoft.com, mic2osoft.com, micro3oft.com, li6e.com, 0mdn.net, 2-dn.net, 2edn.net, 2ldn.net, 2mfn.net, 2mln.net, 2odn.net, 6mdn.net, fbbdn.net, fbgdn.net, gbcdn.net, fjcdn.net, dbcdn.net, roop-servers.net, doublechick.net, do5bleclick.net.
Артём выложил в открытый доступ запись всего DNS-трафика (PCAP), поступившего на его серверы в ходе эксперимента: dnslogs.tar.7z. Оттуда можно понять, что битсквоттинг работает и на внутренней DNS-адресации, свидетельством чему являются поступившие запросы к адресам вроде таких:
dnshostprobe.redmond.corp.micrgsoft.com dubitsmsema01.europe.corp.micrgsoft.com l32web.redmond.corp.micro3oft.com ls2web.redmond.corp.eicrosoft.com ls2web.redmond.corp.iicrosoft.com ls2web.redmond.corp.mhcrosoft.com ls2web.redmond.corp.miarosoft.com ls2web.redmond.corp.micrgsoft.com ls2web.rmdmond.corp.micrgsoft.com msdcs.corp.micrgsoft.com pptestsubca.redmond.corp.eicrosoft.com pptestsubca.redmond.corp.iicrosoft.com pptestsubca.redmond.corp.mhcrosoft.com pptestsubca.redmond.corp.miarosoft.com pptestsubca.redmond.corp.mic2osoft.com pptestsubca.redmond.corp.micrgsoft.com pptestsubca.redmond.corp.micro3oft.com pptestsubca.redmond.corp.microsmft.com pptestsubca.redmond.corp.microsnft.com pug.redmond.corp.microsmft.com tk5-red-dc-02.redmond.corp.microsnft.com udp.corp.microsnft.com wpad.corp.mic2osoft.com
