Чи викрадення DNS – це те саме, що отруєння DNS?

Вони збігаються, але не ідентичні. DNS poisoning , зокрема, означає введення неправильної відповіді в кеш резолвера, щоб майбутні запити отримували неправильну відповідь. DNS hijacking — це ширша категорія — вона включає отруєння, але також охоплює атаки, у яких змінюється сам резолвер (компрометація маршрутизатора, захоплення реєстратора, редагування зловмисним програмним забезпеченням ваших налаштувань DNS).

Чи захищає HTTPS від викрадення DNS?

Здебільшого так у випадку крадіжки облікових даних. Якщо зловмисник перенаправляє bank.com на свій сервер, браузер перевіряє сертифікат, бачить, що він не відповідає bank.com, і попереджає вас. Але HTTPS захищає not від цензури на основі DNS (сайт просто стає недоступним), розміщення реклами на сайтах із відкритим текстом або зловмисного програмного забезпечення, яке надсилає власний фальшивий кореневий сертифікат.

Чи може VPN запобігти викраденню DNS?

VPN, який обробляє DNS всередині тунелю, усуває локальну мережу як поверхню для атаки — ваш маршрутизатор, провайдер і будь-яка стороння мережа Wi-Fi не можуть побачити або переписати запити. Він не захищає від зловмисного програмного забезпечення на вашому власному пристрої чи від викрадення реєстратора цільового домену. Перевірте відсутність витоку за допомогою нашого тесту на витік DNS .

Чому деякі провайдери навмисно викрадають відповіді NXDOMAIN?

гроші Коли ви вводите неіснуючий домен і провайдер повертає власну сторінку пошуку/оголошення замість помилки, кожна помилка стає показом оголошення. Він також порушує програмне забезпечення, яке очікує справжнього NXDOMAIN, тому більшість мережевих інженерів вважають цю практику ворожою для користувачів, навіть якщо технічно законна.

Як дізнатися, що мій маршрутизатор зламали?

Увійдіть в інтерфейс адміністратора маршрутизатора та перевірте налаштування WAN/DNS — вони мають бути «автоматичними» (від вашого провайдера) або загальнодоступним резолвером, який ви налаштували. Якщо вони показують незнайомі IP-адреси, маршрутизатор торкнувся. Потім оновіть мікропрограму, змініть пароль адміністратора та змініть пароль Wi-Fi, щоб виключити будь-який пристрій, який міг ініціювати компрометацію.

Викрадення DNS: як зловмисники перенаправляють ваш Інтернет

Викрадення DNS — це тиха атака, яка не порушує нічого видимого — ваш браузер усе ще завантажує сторінки, ваші програми все ще підключаються, але адресати вже не ті, про які ви запитували. Порушуючи пошук, який перетворює доменне ім’я на IP-адресу, зловмисник може непомітно перенаправляти вас на фішингові сторінки, розміщувати рекламу або стежити за кожним сайтом, який ви відвідуєте.

Повний текст статті подано англійською мовою нижче.

Кожне підключення, яке ви встановлюєте, починається із запитання: "яка IP-адреса для цього імені?" Ваш пристрій запитує розпізнавач DNS, той відповідає, і ви підключаєтесь. DNS hijacking — це будь-яка атака, яка руйнує цей пошук, щоб відповідь вказувала на те, що контролює зловмисник. Оскільки решта з’єднання продовжується нормально, пошкодження непомітне — рядок URL-адреси виглядає правильно, сторінка виглядає правильно, і лише уважний погляд на сертифікат чи IP-адресу виявляє, що щось не так.

Де може статися викрадення

DNS-розв’язання зачіпає кілька систем, і кожна з них може бути поверхнею атаки. Найпоширеніші варіанти:

Локальне викрадення. Зловмисне програмне забезпечення на вашому пристрої редагує параметри розпізнавача ОС або файл hosts, вказуючи конкретні імена на IP-адреси зловмисника.
Викрадення маршрутизатора. Зловмисник входить у ваш домашній або офісний маршрутизатор — часто за допомогою пароля за замовчуванням або unpatched CVE — і змінює DNS-сервер, який надсилається на кожен пристрій через DHCP. Один зламаний маршрутизатор може перенаправляти сотні ноутбуків, телефонів і пристроїв Інтернету речей.
ISP-рівень викрадення. Деякі інтернет-провайдери перехоплюють запити DNS і переписують відповіді NXDOMAIN («ім’я не існує»), щоб вказати на сторінку пошуку/реклами, або блокують певні домени, надаючи іншу відповідь. Іноді це нормативно, часто комерційно, і завжди неможливо відрізнити від атаки на користувача.
Отруєння резолвера. Зловмисник вставляє підроблені відповіді у відкритий рекурсивний кеш резолвера. Наступні користувачі цього резолвера отримують неправильну відповідь, доки не закінчиться термін дії кешу.
Registrar hijacking. Зловмисник заволодіває обліковим записом домену в реєстратора та змінює авторитетні сервери імен — найнебезпечніший варіант, оскільки кожен резолвер у світі згодом підбере поганий записи.

Чому DNS так легко атакувати

Оригінальний протокол DNS 1983 року не має автентифікації. Резолвер, який отримує відповідь, перевіряє трохи більше, ніж ідентифікатор транзакції, який становить 16 біт — можна вгадати за достатньої кількості спроб. Немає криптографічної печатки про те, що «ця відповідь справді надійшла від органу для example.com». Ось чому витоки DNS небезпечні у ворожих мережах: навіть якщо ваш VPN-тунель зашифровано, на DNS-запит, який виходить з тунелю, може відповісти кожен, хто його бачить. DNSSEC додає криптографічні підписи, але впровадження є частковим, і більшість клієнтів не перевіряють.

Що дає зловмиснику можливість викрадення

Після підключення до IP-адреси зловмисника замість справжньої IP-адреси відкривається кілька атак. Зловмисник може відкрити фішингову сторінку, яка виглядає ідентично вашому банку чи постачальнику послуг електронної пошти, і отримати облікові дані. Вони можуть обслуговувати проксі-сервер «людина посередині», який перенаправляє трафік на реальний сайт, спостерігаючи за всім, хоча HTTPS зазвичай запобігає цьому, якщо користувач не натисне попередження про сертифікат. Вони можуть чорнити певні домени (блокувальник реклами використовує це на благо, авторитарний цензор — на зло). І вони можуть завантажувати зловмисне програмне забезпечення замість легітимних оновлень програмного забезпечення.

Як визначити, що вас зламали

Ознаки зазвичай непомітні. Попередження про сертифікат там, де його не повинно бути, є найгучнішим сигналом — браузери відмовляються тихо підключатися до IP-адреси зловмисника, оскільки сертифікат TLS не відповідає домену. Окрім цього, запустіть DNS-запит до кількох резолверів і порівняйте відповіді:

dig @1.1.1.1 example.com
dig @8.8.8.8 example.com
dig @9.9.9.9 example.com

IЯкщо два відомі загальнодоступні резолвери дають різні відповіді, між вами та одним із них щось перехоплюється. Наш тест витоку DNS показує, який резолвер насправді використовує ваш пристрій — корисно для виявлення тихої перемаршрутизації маршрутизатором або інтернет-провайдером.

Як захиститися від викрадення DNS

Три рівні допомагають найбільше. По-перше, зашифруйте свій DNS — DNS через HTTPS і DNS через TLS запобігають спостерігачам на шляху від переписування відповідей у польоті та закріплюють резолвер до відомого постачальника. По-друге, змініть усі паролі за замовчуванням на маршрутизаторі та виправте його мікропрограму; викрадення DNS маршрутизатора масово використовують бот-мережі, такі як DNSChanger і GhostDNS, які сканують Інтернет на пошук вразливих моделей. По-третє, використовуйте резолвери перевірки DNSSEC, наприклад 1.1.1.1 або 9.9.9.9 — коли авторитетний домен підписує свої записи, резолвер може математично підтвердити, що відповідь не була підроблена.

Рівень реєстратора також має значення

IЯкщо ви володієте доменом, найнебезпечніше викрадення не для вашого пристрою, а для ваш обліковий запис реєстратора. Увімкніть двофакторну автентифікацію, заблокуйте домен, щоб передачі потребували схвалення вручну, і спостерігайте за змінами сервера імен. Викрадення MyEtherWallet у 2018 році та інцидент у Twitter у 2020 році були атаками на інфраструктуру реєстратора/DNS, а не атаками на кінцеві точки. Служба реєстрації Cloudflare публікує записи через підписані канали саме з цієї причини.

Часті запитання

Чи викрадення DNS – це те саме, що отруєння DNS?: Вони збігаються, але не ідентичні. DNS poisoning, зокрема, означає введення неправильної відповіді в кеш резолвера, щоб майбутні запити отримували неправильну відповідь. DNS hijacking — це ширша категорія — вона включає отруєння, але також охоплює атаки, у яких змінюється сам резолвер (компрометація маршрутизатора, захоплення реєстратора, редагування зловмисним програмним забезпеченням ваших налаштувань DNS).
Чи захищає HTTPS від викрадення DNS?: Здебільшого так у випадку крадіжки облікових даних. Якщо зловмисник перенаправляє bank.com на свій сервер, браузер перевіряє сертифікат, бачить, що він не відповідає bank.com, і попереджає вас. Але HTTPS захищає not від цензури на основі DNS (сайт просто стає недоступним), розміщення реклами на сайтах із відкритим текстом або зловмисного програмного забезпечення, яке надсилає власний фальшивий кореневий сертифікат.
Чи може VPN запобігти викраденню DNS?: VPN, який обробляє DNS всередині тунелю, усуває локальну мережу як поверхню для атаки — ваш маршрутизатор, провайдер і будь-яка стороння мережа Wi-Fi не можуть побачити або переписати запити. Він не захищає від зловмисного програмного забезпечення на вашому власному пристрої чи від викрадення реєстратора цільового домену. Перевірте відсутність витоку за допомогою нашого тесту на витік <a href="/dns-leak-test">DNS</a>.
Чому деякі провайдери навмисно викрадають відповіді NXDOMAIN?: гроші Коли ви вводите неіснуючий домен і провайдер повертає власну сторінку пошуку/оголошення замість помилки, кожна помилка стає показом оголошення. Він також порушує програмне забезпечення, яке очікує справжнього NXDOMAIN, тому більшість мережевих інженерів вважають цю практику ворожою для користувачів, навіть якщо технічно законна.
Як дізнатися, що мій маршрутизатор зламали?: Увійдіть в інтерфейс адміністратора маршрутизатора та перевірте налаштування WAN/DNS — вони мають бути «автоматичними» (від вашого провайдера) або загальнодоступним резолвером, який ви налаштували. Якщо вони показують незнайомі IP-адреси, маршрутизатор торкнувся. Потім оновіть мікропрограму, змініть пароль адміністратора та змініть пароль Wi-Fi, щоб виключити будь-який пристрій, який міг ініціювати компрометацію.