Головна

Впровадження в мережу Internet помилкового DNS-сервера шляхом перехоплення DNS-запит

  1. Internet ресурси
  2. Internet-джерела
  3. Internet-література
  4. THE INTERNET
  5. А) оптимізація виробництва, впровадження нових технологій, технічна реконструкція промислових підприємств, зміна системи підготовки кадрів
  6. Адресація ресурсов Internet.
  7. артіфіціальним шляхом

В даному випадку це віддалена атака на базі стандартної типової УА, пов'язаної з очікуванням пошукового DNS-запит. Перед тим, як розглянути алгоритм атаки на службу DNS, необхідно звернути увагу на наступні тонкощі в роботі цієї служби.

По-перше, за замовчуванням служба DNS функціонує на базі протоколу UDP (хоча можливо і використання протоколу TCP) що, природно, робить її менш захищеною, так як протокол UDP на відміну від TCP взагалі не передбачає коштів ідентифікації повідомлень. Для того, щоб перейти від UDP до TCP, адміністратору DNS-сервера доведеться дуже серйозно вивчити документацію (в стандартній документації на домен named в ОС Linux немає жодної згадки про можливий вибір протоколу (UDP або TCP), на якому буде працювати DNS-сервер) . Крім того, цей перехід трохи сповільнить систему, так як при використанні TCP потрібне створення віртуального з'єднання, і, крім того, кінцева мережева ОС спочатку посилає DNS-запит з використанням протоколу UDP. І тільки в тому випадку, якщо їй прийде спеціальний відповідь від DNS-сервера, мережева ОС пошле DNS-запит з використанням TCP.

По-друге, наступна тонкість, на яку потрібно звернути увагу, полягає в тому, що значення поля "порт відправника" в UDP-пакеті спочатку приймає значення? 1023 і збільшується з кожним переданим DNS-запит.

По-третє, значення ідентифікатора (ID) DNS-запит поводиться таким чином. У разі передачі DNS-запит з хоста це значення залежить від конкретного мережевого додатки, який виробляє DNS-запит. Експерименти показали, що в разі передачі запиту з оболонки командного інтерпретатора (SHELL) операційних систем Linux і Windows '95 (наприклад, ftp nic.funet.fi) це значення завжди дорівнює одиниці. У тому випадку, якщо DNS-запит передається з Netscape Navigator, то з кожним новим запитом сам броузер збільшує це значення на одиницю. У тому випадку, якщо запит передається безпосередньо DNS-сервер, то сервер збільшує це значення ідентифікатора на одиницю з кожним знову переданим запитом. Всі ці тонкощі мають значення в разі атаки без перехоплення DNS-запит.

Для реалізації атаки шляхом перехоплення DNS-запит атакуючому необхідно перехопити DNS-запит, витягти з нього номер UDP-порта відправника запиту, двухбайтовое значення ID ідентифікатора DNS-запит і шукане ім'я і потім послати помилковий DNS-відповідь на витягнутий з DNS-запит UDP- порт, в якому вказати в якості шуканого IP-адреси справжній IP-адреса помилкового DNS-сервера. Це дозволить в подальшому повністю перехопити трафік між атакується хост і сервером і активно впливати на нього за схемою "Помилковий об'єкт РВС".

Розглянемо узагальнену схему роботи помилкового DNS-сервера (рис. 4.4):

очікування DNS-запит;

витяг з отриманого запиту необхідної інформації і передача по мережі на хост помилкового DNS -Відповісти, від імені (з IP-адреси) справжнього DNS-сервера, в якому вказується IP-адреса помилкового DNS-сервера;

в разі отримання пакета від хоста, зміна в IP-заголовку пакета його IP-адреси на IP-адреса помилкового DNS-сервера і передача пакета на сервер (тобто помилковий DNS-сервер веде роботу з сервером від свого імені);

в разі отримання пакета від сервера, зміна в IP-заголовку пакета його IP-адреси на IP-адреса помилкового DNS-сервера і передача пакета на хост (для хоста помилковий DNS-сервер і є справжній сервер).

Мал. 4.4. Функціональна схема помилкового DNS-сервера.

Мал. 4.4.1. Фаза очікування атакуючим DNS-запит (він знаходиться на ХА1, або на ХА2).

Мал. 4.4.2. Фаза передачі атакуючим помилкового DNS -Відповісти.

Мал. 4.4.3. Фаза прийому, аналізу, впливу і передачі перехопленої інформації на хибному сервері.

Необхідною умовою здійснення даного варіанту атаки є перехоплення DNS-запит. Це можливо тільки в тому випадку, якщо атакуючий знаходиться або на шляху основного трафіку, або в сегменті справжнього DNS-сервера. Виконання одного з цих умов місцезнаходження атакуючого в мережі робить подібну віддалену атаку важко здійсненною на практиці (потрапити в сегмент DNS-сервера і, тим більше, в межсегментний канал зв'язку атакуючому, швидше за все, не вдасться). Однак в разі виконання цих умов можливо здійснити міжсегментного віддалену атаку на мережу Internet.

Відзначимо, що практична реалізація даної віддаленої атаки виявила ряд цікавих особливостей в роботі протоколу FTP і в механізмі ідентифікації TCP-пакетів (докладніше див. П. 4.5). У разі, коли FTP-клієнт на хості підключався до віддаленого FTP-сервера через помилковий DNS-сервер, виявлялося, що кожен раз після видачі користувачем прикладної команди FTP (наприклад, ls, get, put і т. Д.) FTP-клієнт виробляв команду PORT, яка складалася в передачі на FTP-сервер в поле даних TCP-пакета номера порту і IP-адреси клієнтського хоста (Особливий сенс в цих діях важко знайти - навіщо кожен раз передавати на FTP-сервер IP-адреса клієнта)! Це призводило до того, що, якщо на хибному DNS-сервер не змінити передається IP-адреса в поле даних TCP-пакета і передати цей пакет на FTP-сервер по звичайної схемою, то наступний пакет буде переданий FTP-сервером на хост FTP-клієнта , минаючи помилковий DNS-сервер і, що найцікавіше, цей пакет буде сприйнятий як нормальний пакет (п. 4.5), і, в подальшому, помилковий DNS-сервер втратить контроль над трафіком між FTP-сервером і FTP-клієнтом! Це пов'язано з тим, що звичайний FTP-сервер не передбачає ніякої додаткової ідентифікації FTP-клієнта, а перекладає всі проблеми ідентифікації пакетів і з'єднання на більш низький рівень - рівень TCP (транспортний).



Помилковий DNS-сервер в мережі Internet | Впровадження в мережу Internet хибного сервера шляхом створення спрямованого "шторму" помилкових DNS -Відповісти на атакується хост

ВРАЗЛИВІ МІСЦЯ ЗАХИСТУ DNS | Впровадження в мережу Internet хибного сервера шляхом перехоплення DNS-запит або створення спрямованого "шторму" помилкових DNS -Відповісти на атакується DNS-сервер | криптографічного ПІДПИСИ | НОВІ ЗАПИСИ РЕСУРСІВ | ПІДПИСИ ТРАНЗАКЦІЙ | НЕДОЛІКИ DNSSEC | РОБОТА ТРИВАЄ | Захист серверів DNS без допомоги DNSSEC |

© um.co.ua - учбові матеріали та реферати