4.2.2.2 Внедрение dns-сервера путем перехвата dns-запроса

Возможность атаки на DNS путем фальсификации ответа DNS-сервера известна довольно давно. Объектом атаки может являться как резолвер, так и DNS-сервер. Причины успеха подобных атак кроются в легкости подделки ответа сервера. Протоколы DNS, используемые в настоящее время, не предусматривают каких либо средств проверки аутентичности полученных данных и их источника, полностью полагаясь в этом на нижележащие протоколы транспортного уровня. Используемый транспортный протокол (UDP) с целью повышения эффективности не предусматривает установления виртуального канала и использует в качестве идентификатора источника сообщения IP-адрес, который может быть элементарно подделан. Переход к использованию TCP несколько замедлит систему, так как при использовании TCP требуется создание виртуального соединения. Сетевая ОС вначале посылает DNS-запрос с использованием протокола UDP. И только в том случае, если ей придет специальный ответ от DNS-сервера, сетевая ОС пошлет DNS-запрос с использованием TCP [40].

Для реализации атаки путем перехвата DNS-запроса атакующему необходимо перехватить DNS-запрос, извлечь из него номер порта отправителя запроса, идентификатор DNS-запроса и искомое имя (имя домена), а затем послать ложный DNS-ответ на извлеченный из DNS-запроса порт, в котором указать в качестве искомого IP-адреса настоящий IP-адрес ложного DNS-сервера (рисунок 4.12). Это позволит в дальнейшем полностью перехватить трафик между атакуемым хостом и сервером (рисунок 4.13).

Необходимым условием осуществления данного варианта атаки является перехват DNS-запроса. Это возможно только в том случае, если атакующий находится либо на пути основного трафика [24], либо в сегменте настоящего DNS-сервера (рисунок 4.11). Если сеть построена на свитчах, то для осуществления перехвата DNS-запроса, необходимо использовать ARP-spoofing, для того чтобы отравить записи в ARP-таблицах. Это необходимо чтобы трафик проходил, через компьютер атакующего.

Рисунок 4.11 - Расположение субъекта и объекта атаки

Рисунок 4.12 - Перехват DNS-запроса и отправление ложного DNS-ответа

Рисунок 4.13 - Работа сети во время атаки

Если сеть построена на свитчах, то для осуществления перехвата DNS-запроса, необходимо использовать ARP-spoofing, для того чтобы отравить записи в ARP-таблицах. Это необходимо чтобы трафик проходил, через компьютер атакующего.

4.2.2.3 «Шторм» ложных dns ответов на атакуемый хост

В этом варианте проведения удаленной атаки на службу DNS, атакующий хост осуществляет постоянную передачу на атакуемый хост подготовленного заранее ложного DNS-ответа от настоящего доверенного DNS-сервера, тем самым создается направленный «шторм» ложных DNS-ответов.

Возможность создания «шторма» ложных DNS-ответов достигается из-за того, что обычно для передачи DNS-запроса используется протокол UDP, в котором отсутствуют средства идентификации пакетов.

Вид пакетов, отправляемых атакующим, будет иметь следующий вид (таблица 4.5):

Таблица 4.5. Вид ложных DNS ответов

Адрес отправителя	Адрес получателя	ID	Номер порта	Ответ на DNS-запрос
IP-адрес DNS-сервера	IP-адрес «жертвы»	ID	Номер порта	IP-адрес атакующего

Каждый новый пакет, отправленный атакующим будет отличаться от предыдущего только измененными значениями полей «ID» и «Номер порта» (таблица 4.6).

Таблица 4.6. «Шторм» ложных DNS-ответов

Адрес отправителя	Адрес получателя	ID	Номер порта	Ответ на DNS-запрос
IP-адрес DNS-сервера	IP-адрес «жертвы»	ID1	Номер порта1	IP-адрес атакующего
IP-адрес DNS-сервера	IP-адрес «жертвы»	ID2	Номер порта2	IP-адрес атакующего
IP-адрес DNS-сервера	IP-адрес «жертвы»	IDi	Номер портаi	IP-адрес атакующего
IP-адрес DNS-сервера	IP-адрес «жертвы»	IDn	Номер портаn	IP-адрес атакующего

Требования, предъявляемые к полученному от DNS-сервера ответу заключается в том чтобы:

- IP-адреса отправителя ответа совпадал с IP-адресом DNS-сервера.

- В DNS-ответе должно быть указано то же имя, что и в DNS-запросе.

- DNS-ответ должен быть направлен на тот же UDP-порт, с которого был послан DNS-запрос.

- В DNS-ответе поле идентификатор запроса в заголовке DNS (ID) должно содержать то же значение, что и в переданном DNS-запросе.

Внедрение в Internet ложного сервера путем создания направленного «шторма» ложных DNS-ответов на атакуемый хост:

а) атакующий создает направленный "шторм" ложных DNS-ответов на атакуемый хост (рисунок 4.14);

б) Атакуемый хост посылает DNS-запрос и немедленно получает ложный DNS-ответ (рисунок 4.15);

в) фаза приема, воздействия и передачи перехваченной информации на ложном сервере (рисунок 4.16).

Рисунок 4.14 - «Шторм» ложных DNS-ответов

В качестве объекта атаки обычно выбирается активный клиент сети. Ставка делается на то, что клиент будет пытаться связаться с каким-либо широко известным сервером. Методом простого перебора UDP-портов клиента и идентификаторов DNS-запросов ложный сервер DNS атакует потенциальную жертву «штормом» ложных ответов.

Рисунок 4.15 - Получение ложного DNS-ответа

Рисунок 4.16 - Работа сети во время атаки

Кроме того, следует помнить, что корпоративная сеть всегда имеет несколько серверов DNS, причем приоритет их для клиента хакеру заранее не известен. Поэтому если цель атаки - проникновение внутрь корпоративной сети, то ложный сервер DNS должен генерировать ответы от имени всех серверов DNS сети, что приведет к резкому снижению производительности соединения «локальная сеть – Internet» на длительный промежуток времени [41].