Повторное связывание DNS

Повторное связывание DNS - это метод управления разрешением доменных имен, который обычно используется как форма компьютерной атаки. В этой атаке вредоносная веб-страница заставляет посетителей запускать клиентский скрипт, который атакует машины в другом месте сети. Теоретически политика одинакового происхождения предотвращает это: клиентским скриптам разрешен доступ только к контенту на том же хосте, который обслуживал скрипт. Сравнение доменных имен является неотъемлемой частью применения этой политики, поэтому повторное связывание DNS позволяет обойти эту защиту путем злоупотребления системой доменных имен (DNS).

Эта атака может быть использована для взлома частной сети, заставив веб-браузер жертвы получить доступ к компьютерам по частным IP-адресам и вернуть результаты для злоумышленника. Его также можно использовать для использования машины-жертвы для рассылки спама, распределенных атак типа «отказ в обслуживании» или других злонамеренных действий.

• 1 Как работает повторная привязка DNS
• 2 Защита
• 3 См. Также
• 4 Ссылки
• 5 Внешние ссылки

Злоумышленник регистрирует домен (например, attacker.com) и делегирует его DNS-серверу, который находится под контролем злоумышленника. Сервер настроен на ответ с очень коротким временем жизни (TTL) записью, предотвращая кэширование ответа DNS. Когда жертва переходит на вредоносный домен, DNS-сервер атакующего сначала отвечает IP-адресом сервера, на котором размещен вредоносный клиентский код. Например, они могут направить браузер жертвы на веб-сайт, содержащий вредоносные сценарии JavaScript или Flash, предназначенные для выполнения на компьютере жертвы.

Вредоносный код на стороне клиента делает дополнительные обращения к исходному доменному имени (например, attacker.com). Это разрешено политикой одинакового происхождения. Однако, когда браузер жертвы запускает сценарий, он делает новый запрос DNS для домена, и злоумышленник отвечает новым IP-адресом. Например, они могут ответить внутренним IP-адресом или IP-адресом цели где-то еще в Интернете.

Следующие методы пытаются предотвратить атаки повторного связывания DNS:

• DNS-серверы в цепочке могут отфильтровывать частные IP-адреса и IP-адреса обратной связи :
  • Внешние общедоступные DNS-серверы (например, OpenDNS ) могут реализовывать DNS-фильтрацию.
  • Локальные системные администраторы могут настраивать локальный сервер имен ( s) блокировать преобразование внешних имен во внутренние IP-адреса. (У этого есть обратная сторона, позволяющая злоумышленнику сопоставить используемые диапазоны внутренних адресов.)
• A firewall (например, dnswall), на шлюзе или на локальном компьютере, может фильтровать ответы DNS, которые проходят через него, отбрасывая локальные адреса.
• Веб-браузеры могут сопротивляться повторному связыванию DNS:
  • Веб-браузеры могут реализовать закрепление DNS: IP-адрес заблокирован на значение, полученное в первом ответе DNS. Этот метод может блокировать некоторые законные способы использования динамического DNS и может не работать против всех атак. Однако важно обеспечить отказоустойчивость (остановить рендеринг), если IP-адрес действительно изменится, потому что использование IP-адреса после истечения срока TTL может открыть противоположную уязвимость, когда IP-адрес изменился законным образом, а истекший IP-адрес теперь может контролироваться злоумышленник.
  • Расширение NoScript для Firefox включает ABE, функцию, подобную межсетевому экрану, внутри браузера, которая в своей конфигурации по умолчанию предотвращает атаки в локальной сети, предотвращая доступ внешних веб-страниц к локальным IP-адресам.
• Веб-серверы могут отклонять запросы HTTP с нераспознанным заголовком Host.

• Перехват DNS
• Подмена DNS

• Защита браузеров от атак повторного связывания DNS (2007 г.)
• Обновление усиления защиты DNS для Adobe Flash Player (2008 г.)
• Security Sun Alert 200041 для Sun JVM (2008-09-04)
• Повторное связывание DNS с Робертом RSnake Hansen (2009)