Je li otmica DNS-a isto što i trovanje DNS-a?

Preklapaju se, ali nisu identični. DNS poisoning konkretno znači ubacivanje lošeg odgovora u predmemoriju razrješitelja tako da budući upiti dobivaju pogrešan odgovor. Otmica DNS-a je šira kategorija — uključuje trovanje, ali pokriva i napade u kojima se mijenja sam razrješavač (kompromitacija usmjerivača, preuzimanje registra, zlonamjerni softver koji uređuje vaše DNS postavke).

Štiti li me HTTPS od otmice DNS-a?

Uglavnom da za slučaj krađe vjerodajnica. Ako napadač preusmjeri bank.com na svoj poslužitelj, preglednik provjerava certifikat, vidi da ne odgovara bank.com i upozorava vas. Ali HTTPS štiti not od cenzure temeljene na DNS-u (stranica jednostavno postaje nedostupna), ubacivanja oglasa na stranice s čistim tekstom ili zlonamjernog softvera koji isporučuje vlastiti lažni root certifikat.

Može li VPN spriječiti otmicu DNS-a?

VPN koji rukuje DNS-om unutar tunela uklanja lokalnu mrežu kao površinu za napad — vaš usmjerivač, ISP i bilo koji neprijateljski Wi-Fi ne mogu vidjeti ili prepisati upite. Ne štiti od zlonamjernog softvera na vašem uređaju ili od otmice registra odredišne domene. Potvrdite da nema curenja s našim DNS testom curenja .

Zašto neki ISP-ovi namjerno otimaju NXDOMAIN odgovore?

Novac. Kada upišete nepostojeću domenu i ISP vrati vlastitu stranicu za pretraživanje/oglas umjesto pogreške, svaka tipfelerska pogreška postaje pojavljivanje oglasa. Također razbija softver koji očekuje pravi NXDOMAIN, zbog čega većina mrežnih inženjera smatra tu praksu neprijateljskom prema korisniku čak i kada je tehnički legalna.

Kako mogu znati je li mi ruter otet?

Prijavite se u administratorsko sučelje usmjerivača i provjerite WAN/DNS postavke — trebale bi biti "automatske" (od vašeg ISP-a) ili javni razrješivač koji ste postavili. Ako pokazuju nepoznate IP adrese, ruter je dodirnut. Zatim ažurirajte firmver, promijenite lozinku administratora i rotirajte lozinku za Wi-Fi kako biste izbacili sve uređaje koji su možda pokrenuli kompromis.

Otmica DNS-a: Kako napadači preusmjeravaju vaš internet

Otmica DNS-a tihi je napad koji ne razbija ništa vidljivo — vaš preglednik i dalje učitava stranice, vaše se aplikacije i dalje povezuju — ali odredišta više nisu ona koja ste tražili. Oštećujući traženje koje naziv domene pretvara u IP adresu, napadač vas može tiho preusmjeriti na stranice za krađu identiteta, ubaciti oglase ili nadzirati svaku web stranicu koju posjetite.

Cjeloviti članak nalazi se u nastavku na engleskom jeziku.

Svaka veza koju uspostavite počinje pitanjem: "koja je IP adresa za ovo ime?" Vaš uređaj pita DNS razlučivač, on odgovara i vi se povezujete. DNS otmica svaki je napad koji potkopava ovo traženje tako da odgovor pokazuje negdje gdje napadač kontrolira. Budući da se ostatak veze tada odvija normalno, oštećenje je nevidljivo — URL traka izgleda dobro, stranica izgleda dobro, a samo pažljiv pogled na certifikat ili IP otkriva da nešto nije u redu.

Gdje se otmica može dogoditi

DNS rezolucija dotiče nekoliko sustava, a svaki od njih može biti površina napada. Najčešće varijante:

Lokalno otimanje. Zlonamjerni softver na vašem uređaju uređuje postavke OS-a za razrješavanje ili datoteku hostova, usmjeravajući određena imena na IP adrese napadača.
Otmica usmjerivača. Napadač se prijavljuje na vaš kućni ili uredski usmjerivač — često putem zadane lozinke ili nezakrpan CVE — i mijenja DNS poslužitelj koji DHCP šalje na svaki uređaj. Jedan kompromitirani usmjerivač može preusmjeriti stotinu prijenosnih računala, telefona i IoT uređaja.
ISP otmica. Neki ISP-ovi presreću DNS upite i prepisuju odgovore NXDOMAIN ("ime ne postoji") kako bi upućivali na stranicu pretraživanja/oglasa ili blokiraju određene domene posluživanjem drugačijeg odgovora. Ovo je ponekad regulatorno, često komercijalno i uvijek se ne može razlikovati od napada na korisnika.
Trovanje razlučivača. Napadač ubacuje krivotvorene odgovore u predmemoriju otvorenog rekurzivnog razlučivača. Sljedeći korisnici tog razlučivača primaju loš odgovor dok predmemorija ne istekne.
Ketmica registratora. Napadač preuzima račun domene kod registrara i mijenja autoritativne poslužitelje imena — najopasnija varijanta, jer će svaki razrješivač na svijetu na kraju pokupiti loš zapisi.

Zašto je DNS tako lako napasti

Originalni DNS protokol iz 1983. nema provjeru autentičnosti. Razrešivač koji prima odgovor provjerava malo više od ID-a transakcije, koji je 16 bita - može se pogoditi s dovoljno pokušaja. Ne postoji kriptografski pečat koji kaže "ovaj odgovor je stvarno došao od autoriteta, primjerice.com." Zbog toga su DNS curenja opasna na neprijateljskim mrežama: čak i kada je vaš VPN tunel šifriran, na DNS upit koji izmakne tunelu može odgovoriti bilo tko tko ga može vidjeti. DNSSEC dodaje kriptografske potpise, ali usvajanje je djelomično i većina klijenata ne provjerava valjanost.

Što otmica omogućuje napadaču

Jednom kada se spojite na napadačev IP umjesto na pravi, otvara se nekoliko napada. Napadač može otvoriti stranicu za krađu identiteta koja izgleda identično vašoj banci ili davatelju usluga e-pošte i prikupiti vjerodajnice. Oni mogu služiti proxyju "čovjek u sredini" koji prosljeđuje promet na stvarnu stranicu dok sve promatra, iako HTTPS to obično sprječava osim ako korisnik klikne upozorenje o certifikatu. Mogu crniti određene domene (blokator oglasa to koristi za dobro, autoritarni cenzor za zlo). I mogu ubaciti preuzimanja zlonamjernog softvera umjesto legitimnih ažuriranja softvera.

Kako otkriti da ste oteli

Znakovi su obično suptilni. Upozorenje o certifikatu gdje ono ne bi trebalo postojati je najglasniji signal — preglednici se odbijaju tiho povezati s IP-om napadača jer TLS certifikat ne odgovara domeni. Osim toga, pokrenite DNS upit za više razrješavača i usporedite odgovore:

dig @1.1.1.1 example.com
dig @8.8.8.8 example.com
dig @9.9.9.9 example.com

IAko dva poznata javna razrješivača daju različite odgovore, nešto se presreće između vas i jednog od njih. Naš DNS test curenja otkriva koji razrješivač vaš uređaj zapravo koristi — korisno za uočavanje tihog preusmjeravanja od strane usmjerivača ili ISP-a.

Kako se zaštititi od otmice DNS-a

Tri sloja najviše pomažu. Najprije šifrirajte svoj DNS — DNS preko HTTPS i DNS preko TLS-a sprječavaju promatrače na putu da prepisuju odgovore u letu i prikvače rješavač poznatom pružatelju usluga. Drugo, promijenite svaku zadanu lozinku na vašem usmjerivaču i zakrpajte njegov firmware; otmice DNS-a usmjerivača masovno iskorištavaju botneti poput DNSChanger i GhostDNS koji skeniraju internet tražeći ranjive modele. Treće, upotrijebite DNSSEC provjeru valjanosti rezolvera kao što je 1.1.1.1 ili 9.9.9.9 — kada autoritativna domena potpiše svoje zapise, rezolver može matematički potvrditi da odgovor nije neovlašteno mijenjan.

Sloj registratora također je bitan

IAko posjedujete domenu, najopasnija otmica nije za vaš uređaj — to je za svoj matični račun. Omogućite dvostruku autentifikaciju, zaključajte domenu tako da prijenosi zahtijevaju ručno odobrenje i pratite promjene poslužitelja imena. Otmica MyEtherWalleta 2018. i incident s Twitterom 2020. bili su napadi na infrastrukturu registratora/DNS-a, a ne napadi na krajnje točke. Cloudflare usluga registra objavljuje zapise preko potpisanih kanala upravo iz tog razloga.

Često postavljana pitanja

Je li otmica DNS-a isto što i trovanje DNS-a?: Preklapaju se, ali nisu identični. DNS poisoning konkretno znači ubacivanje lošeg odgovora u predmemoriju razrješitelja tako da budući upiti dobivaju pogrešan odgovor. Otmica DNS-a je šira kategorija — uključuje trovanje, ali pokriva i napade u kojima se mijenja sam razrješavač (kompromitacija usmjerivača, preuzimanje registra, zlonamjerni softver koji uređuje vaše DNS postavke).
Štiti li me HTTPS od otmice DNS-a?: Uglavnom da za slučaj krađe vjerodajnica. Ako napadač preusmjeri bank.com na svoj poslužitelj, preglednik provjerava certifikat, vidi da ne odgovara bank.com i upozorava vas. Ali HTTPS štiti not od cenzure temeljene na DNS-u (stranica jednostavno postaje nedostupna), ubacivanja oglasa na stranice s čistim tekstom ili zlonamjernog softvera koji isporučuje vlastiti lažni root certifikat.
Može li VPN spriječiti otmicu DNS-a?: VPN koji rukuje DNS-om unutar tunela uklanja lokalnu mrežu kao površinu za napad — vaš usmjerivač, ISP i bilo koji neprijateljski Wi-Fi ne mogu vidjeti ili prepisati upite. Ne štiti od zlonamjernog softvera na vašem uređaju ili od otmice registra odredišne domene. Potvrdite da nema curenja s našim <a href="/dns-leak-test">DNS testom curenja</a>.
Zašto neki ISP-ovi namjerno otimaju NXDOMAIN odgovore?: Novac. Kada upišete nepostojeću domenu i ISP vrati vlastitu stranicu za pretraživanje/oglas umjesto pogreške, svaka tipfelerska pogreška postaje pojavljivanje oglasa. Također razbija softver koji očekuje pravi NXDOMAIN, zbog čega većina mrežnih inženjera smatra tu praksu neprijateljskom prema korisniku čak i kada je tehnički legalna.
Kako mogu znati je li mi ruter otet?: Prijavite se u administratorsko sučelje usmjerivača i provjerite WAN/DNS postavke — trebale bi biti "automatske" (od vašeg ISP-a) ili javni razrješivač koji ste postavili. Ako pokazuju nepoznate IP adrese, ruter je dodirnut. Zatim ažurirajte firmver, promijenite lozinku administratora i rotirajte lozinku za Wi-Fi kako biste izbacili sve uređaje koji su možda pokrenuli kompromis.