YOUREALHIJACKFAKE!

Segrest de DNS

11 lectura mínimaAmenaça

El segrest de DNS és l'atac silenciós que no trenca res visible: el vostre navegador encara carrega pàgines, les vostres aplicacions encara es connecten, però les destinacions ja no són les que vau demanar. En corrompre la cerca que converteix un nom de domini en una adreça IP, un atacant us pot redirigir en silenci a pàgines de pesca, injectar anuncis o vigilar tots els llocs que visiteu.

El cos complet de l'article es proporciona en anglès a continuació.

Ecada connexió que feu comença amb una pregunta: "quina és l'adreça IP d'aquest nom?" El vostre dispositiu demana un solucionador de DNS, el resolutor respon i us connecteu. El segrest DNS és qualsevol atac que subverteix aquesta cerca, de manera que la resposta apunta a algun lloc que controla l'atacant. Com que la resta de la connexió continua amb normalitat, el dany és invisible: la barra d'URL sembla correcta, la pàgina sembla correcte i només una mirada atenta al certificat o a la IP revela que alguna cosa no funciona.

On pot passar el segrest

DNS La resolució toca diversos sistemes, i qualsevol d'ells pot ser la superfície d'atac. Les variants més habituals:

  • LSegrest local. El programari maliciós del vostre dispositiu edita la configuració de la resolució del sistema operatiu o el fitxer hosts, apuntant noms específics a les IPs de l'atacant.
  • Segrest d'enrutadors. CVE: i canvia el servidor DNS enviat a cada dispositiu per DHCP. Un encaminador compromès pot redirigir un centenar d'ordinadors portàtils, telèfons i dispositius IoT.
  • ISP-segrest de nivell. Alguns ISP intercepten consultes DNS i reescriuen NXDOMAIN ("el nom no existeix") per apuntar a una pàgina de cerca/anunci, o bloquejar una resposta de domini específic. Això de vegades és normatiu, sovint comercial i sempre no es pot distingir d'un atac a l'usuari.
  • Resolver poisoning. Un atacant injecta respostes falsificades a la memòria cau d'un resolutor recursiu obert. Els usuaris posteriors d'aquest solucionador reben la resposta errònia fins que caduca la memòria cau.
  • Segrest del registre. L'atacant es fa càrrec del compte del domini en un registrador i canvia els servidors de noms autoritzats: la variant més perillosa, perquè tots els solucionadors del món finalment recolliran els registres dolents. tan fàcil d'atacar

    El protocol DNS original de 1983 no té autenticació. Un resolutor que rep una resposta comprova poc més que l'identificador de la transacció, que és de 16 bits, endevinable amb prou intents. No hi ha cap segell criptogràfic que digui "aquesta resposta realment prové de l'autoritat per exemple.com". És per això que les filtracions DNS són perilloses en xarxes hostils: fins i tot quan el vostre túnel VPN està xifrat, qualsevol consulta DNS que s'escapa del túnel pot ser contestada per qualsevol persona que la pugui veure. DNSSEC afegeix signatures criptogràfiques, però l'adopció és parcial i la majoria dels clients no la validen.

    Quin segrest permet a l'atacant fer-ho

    Un cop us connecteu a la IP d'un atacant en lloc de la real, s'obren diversos atacs. L'atacant pot aixecar una pàgina de pesca que sembli idèntica a la del vostre banc o proveïdor de correu electrònic i les credencials de la collita. Poden servir un servidor intermediari d'home que reenvia el trànsit al lloc real mentre ho mireu tot, tot i que HTTPS normalment ho impedeix tret que l'usuari faci clic a un avís de certificat. Poden ocultar dominis específics (un bloquejador d'anuncis ho fa servir per bé, un censor autoritari per a malament). I poden injectar descàrregues de programari maliciós en lloc d'actualitzacions de programari legítimes.

    Com detectar que estàs segrestant

    Els signes solen ser subtils. Un avís de certificat on no n'hauria d'existir és el senyal més fort: els navegadors es neguen a connectar-se en silenci a la IP d'un atacant perquè el certificat TLS no coincidirà amb el domini. Més enllà d'això, executeu una consulta DNS amb diversos solucionadors i compareu les respostes:

    dig @1.1.1.1 example.com
dig @8.8.8.8 example.com
dig @9.9.9.9 example.com

    ISi dos solucionadors públics coneguts donen respostes diferents, s'està interceptant alguna cosa entre tu i un d'ells. La nostra prova de fuites DNS revela quin solucionador està utilitzant realment el vostre dispositiu, útil per detectar el reencaminament silenciós per part d'un encaminador o ISP.

    Com endurir-se contra el segrest de DNS

    Tres capes ajuden més. En primer lloc, encripteu el vostre DNS: DNS a través d'HTTPS i DNS a través de TLS impedeixen que els observadors del camí reescriguin les respostes en vol i fixeu el resolutor a un proveïdor conegut. En segon lloc, canvieu totes les contrasenyes predeterminades del vostre encaminador i apliqueu el seu microprogramari; Els segrests de DNS dels encaminadors són explotats massivament per xarxes de bots com DNSChanger i GhostDNS que escanegen Internet a la recerca de models vulnerables. En tercer lloc, utilitzeu solucions de validació de DNSSEC com 1.1.1.1 o 9.9.9.9: quan un domini autoritzat signa els seus registres, el resolutor pot verificar matemàticament que la resposta no s'ha manipulat. compte de registre. Activeu l'autenticació de dos factors, bloquegeu el domini perquè les transferències requereixin aprovació manual i observeu els canvis del servidor de noms. El segrest de MyEtherWallet del 2018 i l'incident de Twitter del 2020 van ser atacs d'infraestructura de registre/DNS, no atacs de punt final. El servei de registre de Cloudflare publica registres a través de canals signats exactament per aquest motiu.

Preguntes freqüents

El segrest de DNS és el mateix que l'enverinament per DNS?
Es superposen però no són idèntics. L'enverinament de <strong>DNS</strong> significa específicament injectar una resposta incorrecta a la memòria cau d'un resolutor de manera que les consultes futures rebin una resposta incorrecta. El segrest de <strong>DNS</strong> és la categoria més àmplia: inclou l'enverinament, però també cobreix els atacs on es canvia el solucionador (compromís de l'encaminador, presa de control del registrador, edició de programari maliciós de la configuració del DNS).
HTTPS em protegeix del segrest de DNS?
Majoritàriament sí per al cas de robatori de credencials. Si l'atacant redirigeix ​​bank.com al seu servidor, el navegador comprova el certificat, veu que no coincideix amb bank.com i us avisa. Però HTTPS protegeix <em>not</em> contra la censura basada en DNS (el lloc simplement es torna inaccessible), la injecció d'anuncis en llocs de text sense format o el programari maliciós que envia el seu propi certificat arrel fals.
Pot una VPN evitar el segrest de DNS?
Una VPN que gestiona DNS dins del túnel elimina la xarxa local com a superfície d'atac: el vostre encaminador, ISP i qualsevol Wi-Fi hostil no poden veure ni reescriure les consultes. No protegeix contra programari maliciós al vostre propi dispositiu ni contra un segrest del registrador del domini de destinació. Confirmeu que no hi ha cap fuga amb la nostra prova de fuites <a href="/dns-leak-test">DNS</a>.
Per què alguns ISP segresten deliberadament les respostes de NXDOMAIN?
Diners. Quan escriviu un domini inexistent i l'ISP retorna la seva pròpia pàgina de cerca/anunci en lloc d'un error, cada error ortogràfic es converteix en una impressió d'anunci. També trenca el programari que espera un NXDOMAIN real, per això la majoria dels enginyers de xarxa consideren la pràctica hostil per a l'usuari, fins i tot quan és tècnicament legal.
Com sé si el meu encaminador ha estat segrestat?
Inicieu sessió a la interfície d'administració de l'encaminador i comproveu la configuració de WAN/DNS: haurien de ser "automàtiques" (del vostre ISP) o una solució pública que hàgiu establert. Si mostren IP desconegudes, l'encaminador s'ha tocat. A continuació, actualitzeu el microprogramari, canvieu la contrasenya d'administrador i gireu la contrasenya de la Wi-Fi per desallotjar qualsevol dispositiu que hagi provocat el compromís.
Segrest de DNS: com els atacants redirigeixen la vostra Internet i com detectar-ho