Протокол DNS. Методы сетевых атак и защиты

 

КУРСОВАЯ РАБОТА

Протокол DNS. Методы сетевых атак и защиты

Челябинск

г.

Содержание

Введение

.Протокол DNS: описание, предназначение

.1Файл Hosts

2.Атаки на протокол DNS

.1Методы атак на протокол DNS

.2Усиление атаки на протокол DNS

.Защита и противодействие атакам на протокол DNS

.1Методы борьбы с атаками на DNS-сервер

Заключение

Список литературы

Введение

Технологии стремительно развиваются и с каждым днем все сложнее и сложнее обеспечить сохранность информации, находящейся в сети. Поэтому вопрос о безопасности и сохранности интернет-ресурсов стоит тем острее, чем быстрее разрастается «Всемирная паутина». Сама сеть, точнее работа в ней построена на протоколах. Одним из них является протокол доменных имен (DNS), который помогает взаимодействовать компьютеру и человеку, а именно: переводит символьное написание, которое привычно человеку в набор цифр, представляющий собой IP-адрес.

Так, с какой целью специалисту необходимы знания о методах атак на протокол DNS?

Используя DNS-сервер, злоумышленник может проникнуть на ваш ресурс и нанести ущерб предприятию, если не предпринимать специальных мер по обеспечению целостности системы. Современный IT-специалист должен не только знать о возможных опасностях, которые таит в себе «Всемирная паутина», но и уметь прогнозировать, минимизировать и устранять последствия вторжения на вверенный ему ресурс.

Специалисту необходимо чувствовать себя как «рыба в воде» на просторах интернета, а это возможно лишь узнавая что-то новое, даже если ты не собираешься применять это на практике (об атаках).

Специалист должен знать с чем имеет дело, чтобы успешно с этим бороться, а лучше и вовсе минимизировать вероятность появления вредоносных атак. Ведь если выйдут из строя DNS-серверы, то пользователи просто не смогут воспользоваться интернет-ресурсами. DNS подвержен атаке, соответственно некому больше переводить язык пользователя (буквенное обозначение домена) на машинный язык (IP-адрес) и обратно. Набрав нужный адрес, пользователь получит ошибку и решит, что интернет вовсе не работает.

. Протокол DNS: описание, предназначение

Компьютеры в сети общаются между собой, используя IP-адреса - числовые имена. Пользователь же привык видеть в своей адресной строке не сложно запоминаемый набор цифр, разделенных запятой, а вполне понятные символьные значения, которые зачастую отражают принадлежность к чему-либо. Например, адрес #"justify"> ответственность за дальнейшую часть домена другому серверу (с административной точки зрения - другой организации или человеку), что позволяет возложить ответственность за актуальность информации на серверы различных организаций (людей), отвечающих только за «свою» часть доменного имени. Например, крупный университет может снять с себя ответственность за актуальность и достоверность информации и возложить ее на отдельные факультеты, кафедры, институты. DNS предоставляет протокол, который позволяет клиентам и серверам общаться друг с другом.

Как уже говорилось, основная задача DNS - преобразование символьного имени в IP-адрес и наоборот, но когда число узлов Internet растет экспоненциально, это не совсем просто с точки зрения реализации. Поэтому DNS имеет иерархическую систему, которая состоит из корневого домена, домена первого уровня, второго уровня и т.д. Соответственно имя состоит из нескольких полей или блоков, написанных латинскими буквами (регистр не учитывается) и разделенных точками. Максимальная длина блока равна 63 символам, а общая длина доменного имени не должна превышать 255 символов.

Иерархическая структура DNS:

1.1 Файл HOSTS

До появления DNS соответствие между символьными именами и IP-адресами можно было установить в специальном файле. Этот способ можно использовать и сейчас, внеся изменения в файл hosts:

WINDOWS: С:\Windows\system32\drivers\etc\hosts: /etc/hosts

Браузер в поисках IP первым делом проверяет нет ли в файле hosts IP введенного адреса. И лишь потом обращается к DNS в случае отрицательного результата. Если же IP запрашиваемого сайта найден в файле hosts, то можно радоваться, ведь загрузка нужной вам страницы начинается быстрее и сокращается ровно на время, которое раньше терялось на соединение с внешним DNS сервером и получение от него ответа с IP.

Файл hosts содержит строки, Каждая из которых определяет одно соответствие между именем и IP-адресом

127.0.0.1 localhost

81.176.66.163 lib.ru

Что удобно можно не только добавлять сайты для ускорения работы, но и блокировать нежелательные сайты, записав напротив такого сайта IP 127.0.0.1.

.0.0.1 vk.com

Либо указать IP другого сайта.

.176.66.163 vk.com

. Атаки на протокол DNS

Атаки на DNS можно условно разделить на две категории.

Первая категория - это атаки на уязвимости в DNS-серверах. С этим подвидом атак связаны следующие опасности:

Во-первых, в результате DNS-атак пользователь рискует не попасть на нужную страницу. При вводе адреса сайта атакованный DNS будет перенаправлять запрос на подставные страницы.

Во-вторых, в результате перехода пользователя на ложный IP-адрес злоумышленник может получить доступ к его личной информации. При этом пользователь даже не будет подозревать, что его информация рассекречена.

Вторая категория - это DDoS-атаки, приводящие к неработоспособности DNS-сервера. При недоступности DNS-сервера пользователь не сможет попасть на нужную ему страницу, так как его браузер не сможет найти IP-адрес, соответствующий введённому адресу сайта. DDoS-атаки на DNS-сервера могут осуществляться как за счёт невысокой производительности DNS-сервера, так и за счёт недостаточной ширины канала связи. Потенциально DDoS-атаки второго вида могут иметь мощность до 70 Гбит/с при использовании техник наподобие DNS Amplification и пр.

Основной причиной такой подверженности DNS-систем угрозам является то, что они работают по протоколу UDP <#"justify">·Ложный DNS-сервер

·Простой DNS-флуд

·Атака посредством отраженных DNS-запросов

·Атака с помощью рекурсивных DNS-запросов

·Атака типа Garbage DNS

·Фишинг/Фарминг

Ложный DNS-сервер

Создание обманного DNS-сервера осуществляется путем перехвата запроса. Механизм данной атаки очень прост. Злоумышленник - атакующий, ждет DNS-запроса от компьютера жертвы. После того как атакующий получил запрос, он извлекает из перехваченного пакета IP-адрес запрошенного хоста. Затем злоумышленнику необходимо, чтобы компьютер жертвы подумал, что он является целевым DNS-сервером, для этого генерируется специальный пакет. Сама генерация ответного пакета так же проста: злоумышленник в ложном ответе жертве в поле IP DNS-сервера прописывает свой IP. Теперь компьютер жертвы принимает атакующего за реальный DNS. Когда клиент отправляет очередной пакет, атакующий меняет в нем IP-адрес отправителя и пересылает далее на DNS. В результате таких изменений настоящий DNS-сервер считает, что запросы отправляет злоумышленник, а не жертва. Таким образом, злоумышленник становится связующим звеном между реальным DNS-сервером и клиентом. Далее злоумышленник может исправлять запросы жертвы по своему усмотрению и отправлять их на реальный DNS. Есть и сложность, запрос может быть перехвачен, только если машина атакующего находится на пути основного трафика или в сегменте DNS-сервера жертвы. Далее запрос будет занесен в кэш, и при последующих подобных запросах пользователи будут переходить на подставной IP.

Простой DNS флуд

Суть состоит в том, что злоумышленник отправляет множественные DNS-запросы на атакуемый DNS-сервер, переполняя сервер запросами и тем самым потребляя его ресурсы. Такой метод атаки очень популярен среди злоумышленников, так как сам по себе прост в исполнении и при этом позволяет скрыть личность злоумышленника.

Злоумышленник генерирует DNS-пакеты, которые отправляются посредством UDP-протокола на DNS-сервер. Стандартный ПК может сгенерировать 1000 DNS-запросов в секунду, тогда как обычный DNS-сервер может обработать только 10000 DNS-запросов в секунду. Другими словами, для того, чтобы вывести из строя DNS-сервер, потребуется всего 10 компьютеров. Поскольку DNS-сервера главным образом используют UDP-протокол, злоумышленникам не требуется устанавливать соединения, и они могут изменить IP-адрес источника и замаскироваться. Это свойство также на руку злоумышленниками - атаку, исходящую от множества измененных IP-адресов источника, тяжелее отразить, чем ту, которая исходит от ограниченного списка IP-адресов.

Атака посредством отраженных DNS-запросов

Атака с помощью отраженных DNS-запросов позволяет создать эффект переполнения, имея в распоряжении ограниченные ресурсы. Это происходит благодаря асимметричному характеру атаки, т.е.злоумышленник отправляет DNS-запрос на один или несколько сторонних DNS-серверов, которые не являются реальными объектами нападения. Злоумышленники изменяют IP-адрес источника DNS-запроса на IP-адрес целевого сервера, который и является целью атаки, тогда ответ сторонних серверов будет отправлен на сервер, который является целью нападения.

В процессе атаки используется эффект усиления, при котором ответ на DNS-запрос в 3-10 раз больше, чем сам DNS-запрос. Самые распространенные методы усиления атаки мы рассмотрим чуть ниже. Другими словами, на атакуемый сервер поступает гораздо больше трафика по сравнению с небольшим количеством запросов, сгенерированных злоумышленником. Успех атаки демонстрирует, что организации не требуется владеть DNS-сервером, чтобы стать объектом DNS-атаки. Целью атаки является вывод из строя межсетевого экрана или канала интернет-соединения.

Атаки, которые производятся посредством отраженных DNS-запросов, можно усилить. Об уровнях усиления атак на протокол чуть ниже.

Степень анонимности при такой атаке возрастает с увеличением ее размаха. Помимо изменения SRC IP (как при простом DNS-флуде), атака сама по себе производится не напрямую - запросы на атакуемый сервер отправляются сторонним сервером.

Атака с помощью рекурсивных DNS-запросов

Атака посредством рекурсивных запросов является наиболее сложным и асимметричным методом атаки на DNS-сервер, для ее организации требуются минимальные вычислительные ресурсы, а результат приводит к интенсивному потреблению ресурсов DNS-сервера, который подвергается нападению.

При такой атаке используются особенности работы рекурсивных DNS-запросов. В рекурсивных DNS-запросах, когда DNS-клиент делает запрос с именем, которое отсутствует в кэш-памяти DNS-сервера, сервер отправляет повторяющиеся запросы другим DNS-серверам до тех пор, пока нужный ответ не будет отправлен клиенту. Воспользовавшись особенностями данного процесса, злоумышленник отправляет рекурсивные запросы с использованием фальшивых имен, которые, как он знает, не существует в кэш-памяти сервера (смотрите пример скриншота экрана). Чтобы разрешить такие запросы, DNS-сервер должен обработать каждую запись, временно сохраняя ее, и отправить запрос другому DNS-серверу, затем дождаться ответа. Другими словами, потребляется все большее количество вычислительных ресурсов (процессора, памяти и пропускной способности), до тех пор, пока ресурсы не заканчиваются.

Асимметричный характер рекурсивной атаки и низкая скорость затрудняют борьбу с такими атаками. Рекурсивная атака может быть пропущена как системами защиты, так и людьми, которые больше сосредоточены на выявлении атак с большим объемом.

Атака типа Garbage DNS

Как подразумевает ее название, такая атака переполняет DNS-сервер «мусорным» трафиком, отправляя пакеты данных большого размера (1500 байт или больше) на его UDP-порт 53. Концепция такой атаки состоит в том, чтобы переполнить сетевой канал пакетами данных большого размера. Злоумышленники могут генерировать потоки «мусорных» пакетов и с помощью других протоколов (UDP-порт 80 также часто используется); но при использовании других протоколов объект может остановить атаку, заблокировав порт на уровне ISP без каких-либо последствий. Протоколом, для которого такая защита недоступна, является протокол DNS, поскольку большинство организаций никогда не закроет этот порт.

Фишинг/Фарминг

В классическом фишинге злоумышленник распространяет письма электронной почты среди пользователей социальных сетей, онлайн-банкинга, почтовых веб-сервисов, заманивая на поддельные сайты пользователей, ставших жертвой обмана, с целью получения их логинов и паролей. Многие пользователи, активно использующие современные веб-сервисы, не раз сталкивались с подобными случаями фишинга и проявляют осторожность к подозрительным сообщениям. В схеме классического фишинга основным "слабым" звеном, определяющим эффективность всей схемы, является зависимость от пользователя - поверит он фишеру или нет. При этом с течением времени повышается информированность пользователей о фишинговых атаках. Банки, социальные сети, прочие веб-службы предупреждают о разнообразных мошеннических приемах с использованием методов социальной инженерии. Все это снижает количество откликов в фишинговой схеме - все меньше пользователей удается завлечь обманным путем на поддельный сайт. Поэтому злоумышленники придумали механизм скрытого перенаправления пользователей на фишинговые сайты, получивший название фарминга ("pharming" - производное от слов "phishing" и англ. "farming" - занятие сельским хозяйством, животноводством). Злоумышленник распространяет на компьютеры пользователей специальные вредоносные программы, которые после запуска на компьютере перенаправляют обращения к заданным сайтам на поддельные сайты. Таким образом, обеспечивается высокая скрытность атаки, а участие пользователя сведено к минимуму - достаточно дождаться, когда пользователь решит посетить интересующие злоумышленника сайты. Вредоносные программы, реализующие фарминг-атаку, используют два основных приема для скрытного перенаправления на поддельные сайты - манипулирование файлом HOSTS или изменением информации.

Популярные методы реализации Фарминг-атак:

·Изменение файла HOSTS

·Изменение файла HOSTS вместе с изменением его местоположения

·Модификация настроек DNS-серверов

·Регистрация ложного DHCP-сервера

Пример зараженного файла:

Красным выделены строки, которых изначально нет, в файле hosts. Это результат атаки.

А вот так должен выглядеть «здоровый» файл hosts, если вы сами не вносили никаких изменений в его конфигурацию.

2.2 Усиление атаки на протокол DNS

Уровни усиления эффективности атаки:

1)Естественный - DNS-пакеты, отправляемые в ответ на запрос, в несколько раз крупнее тех, что отправляются пользователем при запросе. С помощью этого простого в реализации способа даже самая простая атака может получить 3-4 кратное усиление.

)Выборочный - ответы на DNS-запросы имеют различный размер: в ответ на некоторые DNS-запросы отправляется короткий ответ, в ответ на другие ответ гораздо больше. Опытный злоумышленник может сначала определить, какие доменные имена в ответе сервера имеют больший размер. Отправляя запросы только для таких доменных имен, злоумышленник может достигать 10-кратного усиления.

3)Настроенный вручную. Если брать для рассмотрения серьезные DNS-атаки, которые имеют большой масштаб активности, то злоумышленник может даже разработать специальные доменные имена, для отправки имен которых требуется пакеты огромных размеров. Отправляя запросы только на такие специально созданные доменные имена, злоумышленник может достичь 100-кратного усиления.

3. Защита и противодействие атакам на протокол DNS

Любому действию найдется противодействие! Но ко всему нужно подходить с умом. Как уже было сказано, специалист должен не только знать о возможных опасностях, но и уметь прогнозировать и устранять последствия вторжения на вверенный ему ресурс.

В общем случае, ресурс находится в состоянии защищенности, если выполняются его доступность, целостность, конфиденциальность.

Доступность- гарантия того, что авторизованные пользователи получат доступ к нужной им информации.

Целостность - гарантия сохранности и достоверности данных, обеспечивается за счет того, что неавторизованные пользователи никак не могут изменять, модифицировать, подменять или создавать данные.

Конфиденциальность - гарантия того, что доступ к данным имеют только авторизованные пользователи, или легальные пользователи, т.е. допуск которым действительно разрешен.

Требования безопасности могут варьироваться в зависимости от типа хранимых данных, характера информационной системы и типа возможных угроз.

При планировании и разработке защиты необходимо учесть ряд особенностей атак, производимых именно на DNS-серверы:

- Ведется атака на критически важную инфраструктуру - DNS-сервер является важным элементом инфраструктуры. Это означает, что если нарушается работа DNS-сервиса организации, отключается весь ее интернет-трафик. На более высоком уровне, если вывести из строя корневые DNS-серверы - весь интернет перестанет функционировать.

Асимметричный характер атаки - асимметричное усиление позволяет атакам на DNS вызвать отказ в обслуживании, пользуясь ограниченными ресурсами и небольшим трафиком.

Сохранение анонимности - не использующий информацию о состоянии протокол DNS позволяет злоумышленникам изменить их IP-адрес источника и легко замаскироваться. Используя метод отражения, злоумышленник даже не посылает трафик непосредственно на объект атаки.

3.1 Методы борьбы с атаками на DNS-сервер

1. Шифровка данных, с чем поможет DNSSEC. DNSSEC - набор расширений IETF <#"justify">Список литературы

1.Сети TCP/IP. Ресурсы Microsoft Windows 2000 Server. / М.: Русская редакция, 2001.

.Компьютерные сети. Принципы, технологии, протоколы / В.Г. Олифер, Н.А. Олифер. - СПб: Питер, 2001.

3.Компьютерные сети / Таненбаум Э. ;СПб. : Питер, 2003. - 4-е издание.

КУРСОВАЯ РАБОТА Протокол DNS. Методы сетевых атак и защиты

Больше работ по теме: