YOUREALHIJACKFAKE!

Deturnarea DNS

11 min citireAmeninţare

Deturnarea DNS este atacul silențios care nu distruge nimic vizibil - browserul încă încarcă pagini, aplicațiile se conectează în continuare - dar destinațiile nu mai sunt cele pe care le-ați cerut. Corupând căutarea care transformă un nume de domeniu într-o adresă IP, un atacator vă poate redirecționa în liniște către pagini de phishing, poate injecta reclame sau poate supraveghea fiecare site pe care îl vizitați.

Întregul articol al articolului este oferit în limba engleză mai jos.

Erice conexiune pe care o faci începe cu o întrebare: „care este adresa IP pentru acest nume?” Dispozitivul dvs. solicită un rezolutor DNS, rezolutorul răspunde și vă conectați. Deturnarea DNS este orice atac care subminează această căutare, astfel încât răspunsul să fie undeva unde îl controlează atacatorul. Deoarece restul conexiunii se desfășoară în mod normal, deteriorarea este invizibilă — bara URL arată corect, pagina arată corect și doar o privire atentă la certificat sau IP-ul dezvăluie că ceva nu este în regulă. Cele mai comune variante:

  • LDeturnarea locală. Malware de pe dispozitivul dvs. editează setările soluției sistemului de operare sau fișierul gazde, indicând nume specifice către IP-urile atacatorului.
  • Router deturnarea. deturnarea rutei implicite a rutei de către atacator sau deseori printr-un jurnal de rută de la birou sau de la atacator. CVE — și modifică serverul DNS trimis către fiecare dispozitiv de DHCP. Un router compromis poate redirecționa o sută de laptopuri, telefoane și dispozitive IoT.
  • ISP-level hijacking. Unii ISP-uri interceptează interogările DNS și rescriu răspunsurile NXDOMAIN ("numele nu există") pentru a indica o pagină de căutare/anunț sau blocând un anumit domeniu de răspuns. Aceasta este uneori reglementară, adesea comercială și întotdeauna imposibil de distins de un atac către utilizator.
  • Resolver poisoning. Un atacator injectează răspunsuri falsificate în memoria cache a unui resolver recursiv deschis. Utilizatorii următori ai acelui resolver primesc răspunsul prost până la expirarea memoriei cache.
  • Registrar hijacking. Atacatorul preia contul domeniului la un registrator și schimbă serverele de nume autorizate — cea mai periculoasă variantă, deoarece fiecare rezolutor din lume va prelua în cele din urmă înregistrările proaste. atât de ușor de atacat

    Protocolul DNS original din 1983 nu are autentificare. Un rezolutor care primește un răspuns verifică puțin mai mult decât ID-ul tranzacției, care este de 16 biți - ghicit cu suficiente încercări. Nu există niciun sigiliu criptografic care să spună „acest răspuns chiar a venit de la autoritate, de exemplu.com”. De aceea, scurgerile DNS sunt periculoase pe rețelele ostile: chiar și atunci când tunelul VPN este criptat, la o interogare DNS care iese din tunel poate răspunde oricine poate vedea. DNSSEC adaugă semnături criptografice, dar adoptarea este parțială și majoritatea clienților nu validează.

    Ce hijack îi permite atacatorului să facă

    Odată ce te conectezi la IP-ul unui atacator în loc de cel real, se deschid mai multe atacuri. Atacatorul poate ridica o pagină de phishing care arată identică cu banca sau furnizorul dvs. de e-mail și poate colecta acreditările. Ele pot servi un proxy man-in-the-middle care redirecționează traficul către site-ul real în timp ce urmărește totul, deși HTTPS previne de obicei acest lucru, cu excepția cazului în care utilizatorul face clic pe un avertisment de certificat. Ei pot găuri anumite domenii (un agent de blocare a reclamelor folosește acest lucru pentru bine, un cenzor autoritar pentru rău). Și pot injecta descărcări de programe malware în locul actualizărilor de software legitime.

    Cum să detectați că sunteți deturnat

    Semnele sunt de obicei subtile. Un avertisment de certificat unde nu ar trebui să existe este cel mai puternic semnal - browserele refuză să se conecteze în tăcere la IP-ul atacatorului, deoarece certificatul TLS nu se va potrivi cu domeniul. În plus, rulați o interogare DNS împotriva mai multor soluții și comparați răspunsurile:

    dig @1.1.1.1 example.com
dig @8.8.8.8 example.com
dig @9.9.9.9 example.com

    IDacă două soluții publice bine-cunoscute dau răspunsuri diferite, ceva este interceptat între dvs. și unul dintre ei. Testul nostru de scurgeri DNS dezvăluie ce soluție folosește de fapt dispozitivul dvs. - util pentru identificarea redirecționării silențioase de către un router sau ISP.

    Cum să vă întăriți împotriva deturnării DNS

    Trei straturi ajută cel mai mult. În primul rând, criptați DNS-ul dvs. - DNS prin HTTPS și DNS prin TLS împiedică observatorii de pe cale să rescrie răspunsurile în zbor și fixați soluția la un furnizor cunoscut. În al doilea rând, schimbați fiecare parolă implicită de pe router și corecționați firmware-ul acestuia; Deturnările DNS ale routerului sunt exploatate în masă de botnet-uri precum DNSChanger și GhostDNS care scanează Internetul pentru modele vulnerabile. În al treilea rând, utilizați soluții de validare DNSSEC, cum ar fi 1.1.1.1 sau 9.9.9.9 — când un domeniu autorizat își semnează înregistrările, soluția poate verifica matematic că răspunsul nu a fost manipulat. cont de registrator. Activați autentificarea cu doi factori, blocați domeniul, astfel încât transferurile să necesite aprobare manuală și urmăriți modificările serverului de nume. Deturnarea MyEtherWallet din 2018 și incidentul Twitter din 2020 au fost ambele atacuri de registrator/infrastructură DNS, nu atacuri de terminale. Serviciul de înregistrare Cloudflare publică înregistrări pe canale semnate exact din acest motiv.

Întrebări frecvente

Deturnarea DNS este la fel cu otrăvirea DNS?
Se suprapun, dar nu sunt identice. Otrăvirea <strong>DNS</strong> înseamnă în mod specific injectarea unui răspuns prost în memoria cache a unui resolver, astfel încât interogările viitoare să primească răspuns greșit. Deturnarea <strong>DNS</strong> este categoria mai largă - include otrăvirea, dar acoperă și atacurile în care soluția în sine este schimbată (compromiterea routerului, preluarea registratorului, editarea de programe malware a setărilor DNS).
Mă protejează HTTPS de deturnarea DNS?
În general, da pentru cazul furtului de acreditări. Dacă atacatorul redirecționează bank.com către serverul său, browserul verifică certificatul, vede că nu se potrivește cu bank.com și vă avertizează. Dar HTTPS protejează <em>not</em> împotriva cenzurii bazate pe DNS (site-ul devine pur și simplu inaccesibil), a injectării de anunțuri pe site-uri cu text simplu sau a programelor malware care își livrează propriul certificat rădăcină fals.
Poate un VPN să prevină deturnarea DNS?
Un VPN care gestionează DNS în interiorul tunelului elimină rețeaua locală ca o suprafață de atac - routerul, ISP-ul și orice Wi-Fi ostil nu pot vedea sau rescrie interogările. Nu protejează împotriva programelor malware de pe propriul dispozitiv sau împotriva deturnării registratorului domeniului de destinație. Confirmați că nu există scurgeri cu testul nostru de scurgeri <a href="/dns-leak-test">DNS</a>.
De ce unii ISP deturnează în mod deliberat răspunsurile NXDOMAIN?
Bani. Când introduceți un domeniu inexistent și ISP-ul returnează propria pagină de căutare/anunț în loc de o eroare, fiecare greșeală de tipar devine o afișare de anunț. De asemenea, distruge software-ul care se așteaptă la un NXDOMAIN adevărat, motiv pentru care majoritatea inginerilor de rețea consideră practica ostilă pentru utilizator, chiar și atunci când este legală din punct de vedere tehnic.
Cum știu dacă routerul meu a fost deturnat?
Conectați-vă la interfața de administrare a routerului și verificați setările WAN/DNS - acestea ar trebui să fie „automate” (de la ISP-ul dvs.) sau un rezolutor public pe care îl setați. Dacă afișează IP-uri necunoscute, routerul a fost atins. Apoi actualizați firmware-ul, schimbați parola de administrator și rotiți parola Wi-Fi pentru a evacua orice dispozitiv care ar fi declanșat compromisul.
Deturnarea DNS: cum atacatorii vă redirecționează internetul - și cum să-l detecteze