DNS АТАКИТЕ

DNS атака е всяко нападение, насочено към наличността или стабилността на DNS услуга на мрежата. Атаките, които използват DNS като свой механизъм в цялостната си стратегия, като например заразяване на кеша, също се считат за DNS атаки. В тази статия ще се запознаем с най – често срещаните видове DNS атаки.

Общи атаки срещу DNS услуга

Тези атаки се фокусират върху самата DNS инфраструктура, или правят самата DNS услуга недостъпна, или подриват отговорите, предоставени от DNS сървърите. Имайте предвид, че DNS се състои от два  отделни компонента, авторитетни сървъри (хостинг на отговори) и рекурсивни сървъри (намиране на отговори) и има персонализирани атаки срещу всеки компонент, които ще бъдат обсъдени по-късно.

Мрежови flood

Както всеки друг сървър, DNS сървърите са предразположени към всички мрежови атаки. Има много начини, по които атакуващите могат да причинят голямо количество мрежов трафик към DNS сървърите, като TCP / UDP / ICMP flooding, което прави услугата недостъпна за други потребители на мрежата чрез насищане на мрежовата връзка към DNS сървърите.

Софтуерна уязвимост

Хакерите  използват специфична уязвимост към софтуера на DNS сървъра или операционната система на хоста, за да заобиколят мерките за контрол, за да създадат измамни записи в DNS базата данни, или да причинят срив на DNS сървъра.

Атаки срещу авторитетни сървъри

Авторитетните сървъри за имена поддържат DNS зоната и записите, подобно на база данни. Атаките срещу тях са много често срещани.

Разузнаване

DNS данните по подразбиране трябва да бъдат достъпни за обществено потребление, което прави това идеалната първа стъпка за хакер, който се опитва да научи повече за целевата среда. Тази атака не оказва пряко влияние върху наличността или стабилността на услугата, но обикновено е част от дългосрочната стратегия за по-голяма атака. Например нападателят може да установи, че exchange.example.com, посочен в записа MX, работи с Microsoft Exchange и да стартира специфични атаки срещу него.

Неупълномощена актуализация

Авторитетните сървъри могат да приемат динамични актуализации, което означава, че те могат по същество да създават нови DNS записи в движение. Тази функция обаче може да бъде използвана от нападателите за проникване на неоторизирани записи в DNS зоната.

Атака на поддомейн

Това е вид DoS атака и целта й е да затрупа авторитетните сървъри за имена до степен, че вече не може да отговарят на легитимни заявки. При тази атака нападателят изпраща много заявки за поддомейн, които вероятно не съществуват, консумирайки ресурсите на авторитетния сървър до степен, че тя причинява смущения в други DNS справки. Например, вместо да направи заявка за example.com, нападателят ще направи заявка за 111aaa.example.com, 111bbb.example.com, 222aaa.example.com, 333ccc.sub.example.com и т.н.

Атаки срещу рекурсивни сървъри

Основната работа на рекурсивния сървър е да изгражда и съхранява богат кеш от DNS отговори.

Отравяне на кеша

Отравянето на кеша има за цел да повреди отговорите, съхранявани в кеша, така че всяко следващо търсене от други клиенти ще получи повредения отговор.

NXDOMAIN и Phantom Domain

Подобно на атаката на поддомейна, насочена срещу авторитетни сървъри, тази атака заявява рекурсивни сървъри на имена, за които е известно, че не съществуват. Това ще загуби времето на рекурсивния сървър в сканиране на  DNS пространството на имената, само за да стигне до заключението, че името не съществува, като попълва кеша с безполезни отговори.

Други DNS-базирани атаки и експлойти

 

Усилване + Атака на отражение

По-рано обсъжданите DDoS атаки са разнообразни и при тях  нападателите са насочени към DNS сървъри в организацията. Атака на отражението наблюдаваме в  случаите, когато нападателите поемат DNS сървъри в рамките на една  организация като част от DDoS атака, насочена към друга целева жертва.

Отвличане и пренасочване на домейни

Тази категория атаки мами потребителите да отидат до друга дестинация. Добре известен пример е името на домейна paypaI.com (забележете, че буквата „i“ е с главни букви), което много прилича на истинското име на домейн paypal.com, изписано с L. В подобна категория нападателите могат да заразят целевата клиентска машина със злонамерен софтуер, който променя локалните настройки на DNS, така че всички DNS заявки се изпращат до DNS сървъра под контрола на нападателя, като случая с червея DNSChanger.

Зловреден софтуер

Говорейки за злонамерен софтуер, много видове злонамерен софтуер днес използват DNS като част от цялостната си функция, за да общуват не само със сървъра за управление, но и да се актуализират и развиват. Ярък пример е скорошният рансъмуер WannaCry, който разчита на първоначална успешна DNS заявка, преди да изпълни атаката си.

Извличане на данни и тунелиране

DNS тунелирането е обща техника, която кодира съобщения в DNS заявки и отговори, най-вече за да се избегне откриването. Въпреки че има законни употреби на DNS тунелиране, става опасно, когато някой го използва, за да извлече чувствителна информация.

Източник: e-security.bg

Подобни публикации

27 септември 2023

Нов ZeroFont фишинг подвежда Outlook да показва...

Хакерите използват нов трик за използване на нулеви шрифтове в имей...
27 септември 2023

Google присвоява нов максимален рейтинг CVE на ...

Google е определила нов CVE ID (CVE-2023-5129) за уязвимостта в сиг...
27 септември 2023

Нова киберпрестъпна група е свързана със 7 фам...

Експерти по киберсигурност разкриха нова група за киберпрестъпления...
27 септември 2023

Microsoft разпространява Passkeys в Windows 11

Днес Microsoft официално въвежда поддръжка на клавишите passskeys в...
27 септември 2023

Излязоха резултатите от оценката на MITRE ATT&a...

Задълбочените, независими тестове са жизненоважен ресурс за анализи...
26 септември 2023

WatchGuard получи най-високото признание

WatchGuard е обявена за лидер в последния доклад на G2 Grid и е отл...
26 септември 2023

WatchGuard с награда за отлични постижения в об...

Имаме удоволствието да споделим, че WatchGuard е обявена за победит...
26 септември 2023

Рансъмуерът Akira мутира и се насочва към систе...

Откакто се появи като заплаха през март, рансъмуерът Arika продължи...
26 септември 2023

Разликите между локалната и облачната киберсигу...

Разликата между управлението на киберсигурността в локални и облачн...
Бъдете социални
Още по темата
22/09/2023

NCSC: Защо атаките за кибер...

44CON 2023 – Лондон – Според...
20/09/2023

Microsoft: Кибератаките "Pe...

Microsoft предупреждава, че глобална кампания за...
16/09/2023

Retool обвинява за нарушени...

Софтуерната компания Retool съобщава, че акаунтите...
Последно добавени
27/09/2023

Нов ZeroFont фишинг подвежд...

Хакерите използват нов трик за използване...
27/09/2023

Google присвоява нов максим...

Google е определила нов CVE ID...
27/09/2023

Нова киберпрестъпна група е...

Експерти по киберсигурност разкриха нова група...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!