DNS атака е всяко нападение, насочено към наличността или стабилността на DNS услуга на мрежата. Атаките, които използват DNS като свой механизъм в цялостната си стратегия, като например заразяване на кеша, също се считат за DNS атаки. В тази статия ще се запознаем с най – често срещаните видове DNS атаки.

Общи атаки срещу DNS услуга

Тези атаки се фокусират върху самата DNS инфраструктура, или правят самата DNS услуга недостъпна, или подриват отговорите, предоставени от DNS сървърите. Имайте предвид, че DNS се състои от два  отделни компонента, авторитетни сървъри (хостинг на отговори) и рекурсивни сървъри (намиране на отговори) и има персонализирани атаки срещу всеки компонент, които ще бъдат обсъдени по-късно.

Мрежови flood

Както всеки друг сървър, DNS сървърите са предразположени към всички мрежови атаки. Има много начини, по които атакуващите могат да причинят голямо количество мрежов трафик към DNS сървърите, като TCP / UDP / ICMP flooding, което прави услугата недостъпна за други потребители на мрежата чрез насищане на мрежовата връзка към DNS сървърите.

Софтуерна уязвимост

Хакерите  използват специфична уязвимост към софтуера на DNS сървъра или операционната система на хоста, за да заобиколят мерките за контрол, за да създадат измамни записи в DNS базата данни, или да причинят срив на DNS сървъра.

Атаки срещу авторитетни сървъри

Авторитетните сървъри за имена поддържат DNS зоната и записите, подобно на база данни. Атаките срещу тях са много често срещани.

Разузнаване

DNS данните по подразбиране трябва да бъдат достъпни за обществено потребление, което прави това идеалната първа стъпка за хакер, който се опитва да научи повече за целевата среда. Тази атака не оказва пряко влияние върху наличността или стабилността на услугата, но обикновено е част от дългосрочната стратегия за по-голяма атака. Например нападателят може да установи, че exchange.example.com, посочен в записа MX, работи с Microsoft Exchange и да стартира специфични атаки срещу него.

Неупълномощена актуализация

Авторитетните сървъри могат да приемат динамични актуализации, което означава, че те могат по същество да създават нови DNS записи в движение. Тази функция обаче може да бъде използвана от нападателите за проникване на неоторизирани записи в DNS зоната.

Атака на поддомейн

Това е вид DoS атака и целта й е да затрупа авторитетните сървъри за имена до степен, че вече не може да отговарят на легитимни заявки. При тази атака нападателят изпраща много заявки за поддомейн, които вероятно не съществуват, консумирайки ресурсите на авторитетния сървър до степен, че тя причинява смущения в други DNS справки. Например, вместо да направи заявка за example.com, нападателят ще направи заявка за 111aaa.example.com, 111bbb.example.com, 222aaa.example.com, 333ccc.sub.example.com и т.н.

Атаки срещу рекурсивни сървъри

Основната работа на рекурсивния сървър е да изгражда и съхранява богат кеш от DNS отговори.

Отравяне на кеша

Отравянето на кеша има за цел да повреди отговорите, съхранявани в кеша, така че всяко следващо търсене от други клиенти ще получи повредения отговор.

NXDOMAIN и Phantom Domain

Подобно на атаката на поддомейна, насочена срещу авторитетни сървъри, тази атака заявява рекурсивни сървъри на имена, за които е известно, че не съществуват. Това ще загуби времето на рекурсивния сървър в сканиране на  DNS пространството на имената, само за да стигне до заключението, че името не съществува, като попълва кеша с безполезни отговори.

Други DNS-базирани атаки и експлойти

Усилване + Атака на отражение

По-рано обсъжданите DDoS атаки са разнообразни и при тях  нападателите са насочени към DNS сървъри в организацията. Атака на отражението наблюдаваме в  случаите, когато нападателите поемат DNS сървъри в рамките на една  организация като част от DDoS атака, насочена към друга целева жертва.

Отвличане и пренасочване на домейни

Тази категория атаки мами потребителите да отидат до друга дестинация. Добре известен пример е името на домейна paypaI.com (забележете, че буквата „i“ е с главни букви), което много прилича на истинското име на домейн paypal.com, изписано с L. В подобна категория нападателите могат да заразят целевата клиентска машина със злонамерен софтуер, който променя локалните настройки на DNS, така че всички DNS заявки се изпращат до DNS сървъра под контрола на нападателя, като случая с червея DNSChanger.

Зловреден софтуер

Говорейки за злонамерен софтуер, много видове злонамерен софтуер днес използват DNS като част от цялостната си функция, за да общуват не само със сървъра за управление, но и да се актуализират и развиват. Ярък пример е скорошният рансъмуер WannaCry, който разчита на първоначална успешна DNS заявка, преди да изпълни атаката си.

Извличане на данни и тунелиране

DNS тунелирането е обща техника, която кодира съобщения в DNS заявки и отговори, най-вече за да се избегне откриването. Въпреки че има законни употреби на DNS тунелиране, става опасно, когато някой го използва, за да извлече чувствителна информация.