Введение
Являясь одним из основных элементов инфраструктуры IP-сетей, служба доменных имен (DNS) в то же время далеко неидеальна с точки зрения информационной безопасности. Применение транспортного протокола без установления виртуального канала (UDP), отсутствие встроенных средств идентификации, аутентификации и разграничения доступа делают ее уязвимой для удаленных атак различных типов. Цель этой статьи состоит в том, чтобы пролить
некоторый свет на методы атак на службу DNS.
Немного истории DNS Cache Poisoning
В 1993 году Christoph Schuba выпустил в свет исследование
"Addressing
Weaknesses in the Domain Name System Protocol". В нем он выделил несколько уязвимостей, включая методику
"отравления" кэша DNS. В самой ранней версии было возможно
передавать дополнительную информацию в пакете ответа DNS,
которая будет кэшироваться демоном. Это
позволяло нападавшему вводить ложную информацию в кэш доменной системы имен,
тем самым становилось возможной атака типа "man-in-the-middle"
и пр.
В 1997 CERT выпустила консультацию CA-1997-22, описывая уязвимость в
BIND (BIND - сокращение от Berkeley Internet Name Daemon, фактически
стандартная Internet-программа для разрешения имен хостов в IP-адреса). BIND не рандомизировал свои операционные идентификаторы - они были просто последовательны. Кроме 3 и 4 уровня
(сравнение IP и портов), рабочий ID - единственная форма идентификации для ответа DNS. Поскольку нападавший мог легко предсказать следующий операционный идентификатор,
хакер довольно просто мог организовать
отравление DNS кэша. Чтобы решить это, все новые версии были модифицированы,
в BIND начали использовать случайные операционные идентификаторы.
В 2002 Vagner Sacramento из DIMAp/UFRN (Отдел Информатики и Прикладной математики Федерального университета Rio Grande do Norte) провели эксперименты с несколькими версиями Internet Software Consortium's (ISC) Berkeley Internet Name Domain (BIND), демонстрируя возможность успешной атаки DNS имитации (DNS Spoofing) в 4 и 8 версии программы.
Проблема обнаружилась все в том же ID,
выяснилось, что идентификатор так же
довольно легко предсказать, всего лишь
используя ограниченный набор посылаемых
пакетов. При исследовании предыдущей атаки, группа Службы компьютерной безопасности также выявила, что могла быть и другая возможная схема нападения, она основана на работе
Michal
Zalewski в области порядковых номеров TCP, анализа генераторов случайного числа используемых различными сетевыми операционными системами.
Методы и задачи злоумышленника
Корректное функционирование DNS является критически важным для сети организации, подсоединенной к Интернету, и для Интернета в целом. Действительно, если злоумышленнику удастся сделать так, чтобы атакуемый хост получил из DNS сфальсифицированную информацию, то
клиент будет отправлять данные на подложный IP-адрес. В лучшем случае результатом будет отказ в обслуживании, в худшем - злоумышленник получит возможность перехвата трафика со всеми вытекающими последствиями. Например, злоумышленник подменил данные об IP-адресе WWW-сайта фирмы www.superfirma.com на адрес подконтрольного злоумышленнику хоста и создал на этом хосте веб-страницу, имитирующую сайт фирмы. Ничего не подозревающий пользователь, направив свой броузер на www.superfirma.com, соединяется с хостом злоумышленника и, полагая, что работает на сайте фирмы, вводит конфиденциальную информацию о своем счете, которая немедленно попадает к злоумышленнику.
Для того, чтобы сфальсифицировать данные DNS, злоумышленник может использовать несколько методов. Рассмотрим их в порядке возрастания масштаба атаки.
- Злоумышленник отправляет подложный DNS-ответ (в нашем примере - с неверным адресом хоста www.superfirma.com) атакуемому хосту host.victim.com. Ответ отправляется от имени сервера после того, как хост выслал серверу соответствующий запрос. Атака направлена против одного хоста.
- Злоумышленник отправляет подложный DNS-ответ серверу ns.victim.com, когда тому требуется найти адрес сервера www.superfirma.com. Сфальсифицированные данные сохраняются в кэше сервера ns.victim.com в течение указанного злоумышленником времени жизни записи, которое может быть очень большим. Действие атаки распространяется на все хосты, использующие ns.victim.com в качестве своего DNS-сервера.
- Злоумышленник от имени первичного сервера ns.superfirma.com производит передачу сфальсифицированной зоны superfirma.com на вторичный сервер ns2.superfirma.com. Таким образом злоумышленник введет в заблуждение все DNS-серверы Интернета, которые обратятся к ns2.superfirma.com за официальной информацией о зоне superfirma.com, и, следовательно, все хосты, которые пользуются услугами этих серверов. Это может быть значительная часть Интернета.
- Используя динамическое обновление, злоумышленник изменяет базу данных зоны superfirma.com на первичном сервере ns.superfirma.com. В этом случае весь Интернет будет пользоваться данными зоны superfirma.com, сфальсифицированными злоумышленником.
