Как хакеры подменяют DNS-запросы с помощью «отравления» кэша
Подмена сервера доменных имен (DNS) — это кибератака, с помощью которой злоумышленник направляет трафик жертвы на вредоносный сайт (вместо легитимного IP-адреса). Злоумышленники используют метод «отравления» кэша DNS для перехвата интернет-трафика и кражи учетных данных или конфиденциальной информации. Отравление кэша DNS и подмена DNS — тождественные понятия, часто используемые как синонимы. Хакер хочет обманом заставить пользователей ввести личные данные на небезопасном сайте. Как ему этого добиться? С помощью отравления кэша DNS. Для этого хакер подменяет или заменяет данные DNS для определенного сайта, а затем перенаправляет жертву на сервер злоумышленника вместо легитимного сервера. Таким образом хакер добивается своей цели, ведь перед ним открываются широкие возможности: он может совершить фишинговую атаку, украсть данные или даже внедрить в систему жертвы вредоносную программу.
Что такое подмена DNS и отравление кэша?
Прежде чем начать разговор об отравлении кэша DNS, сначала давайте вспомним, что такое DNS и кэширование DNS. DNS — это всемирный каталог IP-адресов и доменных имен. Можно сказать, что это своеобразный телефонный справочник интернета. DNS переводит удобные для пользователей адреса, такие как varonis.com, в IP-адреса, например 92.168.1.169, которые используются компьютерами для работы в сети. Кэширование DNS — это система хранения адресов на DNS-серверах по всему миру. Для ускорения обработки ваших DNS-запросов разработчики создали распределенную систему DNS. Каждый сервер хранит список известных ему DNS-записей, который называется кэшем. Если на ближайшем к вам DNS-сервере нужный IP-адрес отсутствует, он запрашивает вышестоящие DNS-серверы до тех пор, пока адрес веб-сайта, на который вы пытаетесь попасть, не будет найден. После этого ваш DNS-сервер сохраняет эту новую запись в вашем кэше, чтобы в следующий раз получить ответ быстрее.
Примеры и последствия отравления кэша DNS
Концепция DNS не приспособлена к специфике современного интернета. Конечно, со временем DNS был усовершенствован, однако сейчас по-прежнему достаточно одного неправильно настроенного DNS-сервера, чтобы миллионы пользователей ощутили на себе последствия. Пример — атака на WikiLeaks, когда злоумышленники с помощью отравления кэша DNS перехватывали трафик, перенаправляя его на собственный клон сайта. Целью этой атаки было увести трафик с WikiLeaks, и она достигла определенного успеха. Отравление кэша DNS весьма непросто обнаружить обычным пользователям. В настоящее время система DNS построена на доверии, и это является ее слабым местом. Люди чересчур сильно доверяют DNS и никогда не проверяют, соответствует ли адрес в их браузере тому, что им в действительности нужно. Злоумышленники же пользуются этой беспечностью и невнимательностью для кражи учетных данных и другой важной информации.
Как работает отравление кэша DNS?
Отравление кэша DNS означает, что на ближайшем к вам DNS-сервере содержится запись, отправляющая вас по неверному адресу, который, как правило, контролируется злоумышленником. Существует ряд методов, которые используют злоумышленники для отравления кэша DNS.
Перехват трафика локальной сети с помощью подмены протокола ARP
Вы удивитесь, насколько уязвимой может быть локальная сеть. Многие администраторы могут пребывать в уверенности, что перекрыли все возможные доступы, но, как известно, дьявол кроется в деталях.
Одна из распространенных проблем — сотрудники, работающие удаленно. Можно ли быть уверенными, что их сеть Wi-Fi защищена? Хакеры могут взломать слабый пароль от сети Wi-Fi за считанные часы.
Еще одна проблема — открытые порты Ethernet, доступные всем желающим в коридорах, вестибюлях и других общественных местах. Просто представьте: посетитель может подключить к своему устройству кабель Ethernet, предназначенный для дисплея в вестибюле. Как хакер может использовать доступ к вашей локальной сети, полученный одним из перечисленных выше способов? Во-первых, он сможет создать фишинговую страницу для сбора учетных данных и другой ценной информации. Затем он может разместить этот сайт либо в локальной сети, либо на удаленном сервере, и для этого ему потребуется всего-навсего одна строка кода на Python. После этого хакер может начать следить за сетью с помощью специальных инструментов, таких как Betterrcap. На этом этапе хакер изучает сеть и производит рекогносцировку, но трафик все еще проходит через маршрутизатор. Затем злоумышленник может совершить подмену протокола разрешения адресов (ARP), чтобы изнутри изменить структуру сети. Протокол ARP используется сетевыми устройствами для связывания MAC-адреса устройства с IP-адресом в сети. Bettercap будет отправлять сообщения, заставляя все устройства в сети считать компьютер хакера маршрутизатором. Благодаря этой уловке хакер сможет перехватывать весь сетевой трафик, проходящий через маршрутизатор. Достигнув перенаправления трафика, злоумышленник может запустить модуль Bettercap для подмены DNS. Этот модуль будет искать любые запросы к целевому домену и отправлять жертве ложные ответы. Ложный ответ содержит IP-адрес компьютера злоумышленника, переправляя все запросы к целевому сайту на фишинговую страницу, созданную хакером. Теперь хакер видит трафик, предназначенный для других устройств в сети, собирает вводимые учетные данные и внедряет вредоносные загрузки.
Если же хакер не может получить доступ к локальной сети, он прибегнет к одной из следующих атак.
Подделка ответов с помощью атаки «дней рождения»
DNS не проверяет подлинность ответов на рекурсивные запросы, поэтому в кэше сохраняется первый ответ. Злоумышленники используют так называемый «парадокс дней рождения», чтобы попытаться предугадать и отправить поддельный ответ запрашивающей стороне. Для предугадывания атака «дней рождения» использует математику и теорию вероятностей. В этом случае злоумышленник пытается угадать идентификатор транзакции вашего DNS-запроса, и в случае успеха поддельная запись DNS попадает к вам раньше легитимного ответа. Успех атаки «дней рождения» не гарантирован, но в конце концов злоумышленник сможет подложить в кэш поддельный ответ. После того как атака увенчается успехом, хакер сможет видеть трафик от поддельной записи DNS до окончания жизненного цикла (TTL) записи DNS.
Эксплойт Каминского
Эксплойт Каминского является разновидностью атаки «дней рождения». Обнаруживший эту уязвимость Дэн Каминский впервые представил ее на конференции BlackHat в 2008 году. Суть эксплойта заключается в том, что сначала хакер отправляет DNS-резолверу запрос для несуществующего домена, например fake.varonis.com. Получив такой запрос, DNS-резолвер перенаправляет его на авторитетный сервер имен, чтобы получить IP-адрес ложного субдомена. На этом этапе злоумышленник перегружает DNS-резолвер огромным количеством поддельных ответов в надежде, что один из этих поддельных ответов совпадет с идентификатором транзакции исходного запроса. В случае успеха хакер подменяет в кэше DNS-сервера IP-адрес, например, как в нашем примере с varonis.com. Резолвер продолжит отвечать всем запрашивающим, что поддельный IP-адрес varonis.com является настоящим, пока не истечет жизненный цикл записи DNS.
Как обнаружить отравление кэша DNS?
Как обнаружить, что кэш DNS отравлен? Для этого нужно следить за вашими DNS-серверами в поисках индикаторов возможной атаки. Однако ни у кого нет вычислительных мощностей, чтобы справиться с такими объемами DNS-запросов. Лучшим решением будет применить к вашему мониторингу DNS аналитику безопасности данных. Это позволит отличить нормальное поведение DNS от атак злоумышленников.
• Внезапное увеличение активности DNS из одного источника в отношении одного домена свидетельствует о потенциальной атаке «дней рождения».
• Увеличение активности DNS из одного источника, который запрашивает у вашего DNS-сервера многочисленные доменные имена без рекурсии, свидетельствует о попытке подобрать запись для последующего отравления.
Помимо мониторинга DNS необходимо также вести мониторинг событий Active Directory и поведения файловой системы, чтобы вовремя обнаружить аномальную активность. А еще лучше будет использовать аналитику для поиска взаимосвязи между всеми тремя векторами. Это позволит получить ценную контекстную информацию для усиления стратегии кибербезопасности.
Способы защиты от отравления кэша DNS
И, наконец, используйте зашифрованные DNS-запросы. Модули безопасности службы доменных имен (DNSSEC) — это протокол DNS, который использует подписанные DNS-запросы для предотвращения их подмены. При использовании DNSSEC, DNS-резолверу необходимо проверить подпись на уполномоченном DNS-сервере, что замедляет весь процесс. Вследствие этого DNSSEC пока не получил широкого распространения.
DNS поверх HTTPS (DoH) и DNS поверх TLS (DoT) являются конкурирующими спецификациями для следующей версии DNS и, в отличие от DNSSEC, предназначены для обеспечения безопасности DNS-запросов без ущерба скорости. Тем не менее эти решения не идеальны, поскольку могут замедлить или полностью сделать невозможным локальный мониторинг и анализ DNS. Важно отметить, что DoH и DoT могут обходить родительский контроль и другие блокировки на уровне DNS, установленные в сети. Несмотря на это, Cloudflare, Quad9 и Google имеют общедоступные DNS-серверы с поддержкой DoT. Многие новые клиенты поддерживают эти современные стандарты, хотя их поддержка и отключена по умолчанию. Вы можете найти более подробную информацию об этом в нашем посте по безопасности DNS.
Подмена DNS заменяет легитимный IP-адрес сайта на IP-адрес компьютера хакера. Обнаружить подмену очень непросто, ведь с точки зрения конечного пользователя он вводит в браузере абсолютно нормальный адрес сайта. Несмотря на это остановить подобную атаку можно. Риски снизить можно, используя мониторинг DNS, например, от Varonis, а также стандарт шифрования DNS поверх TLS (DoT).
Отравление кэша: часто задаваемые вопросы
Ознакомьтесь с распространенными вопросами о подмене DNS и ответами на них.
Отравление кэша DNS и подмена кэша DNS (спуфинг) — это одно и то же?
Да, отравлением кэша и подменой кэша называют один и тот же тип кибератаки.
Как работает отравление кэша DNS?
Отравление кэша обманывает ваш DNS-сервер, сохраняя на нём поддельную запись DNS. После этого трафик перенаправляется на сервер, выбранный хакером, и там осуществляется кража данных.
Какие меры безопасности можно применять для защиты от отравления кэша DNS?
Владельцы сайта могут осуществлять мониторинг и аналитику для выявления подмены DNS. Кроме того, можно обновить DNS-серверы, чтобы использовать модули безопасности службы доменных имен (DNSSEC) или другую систему шифрования, например DNS поверх HTTPS или DNS поверх TLS. Повсеместное использование полного сквозного шифрования, такого как HTTPS, также может предотвратить подмену DNS. Брокеры безопасного облачного доступа (CASB) чрезвычайно полезны для этих целей. Конечные пользователи могут сбросить потенциально подделанный кэш DNS, периодически очищая кэш DNS своего браузера, или после подключения к небезопасной или общедоступной сети. Использование VPN может защитить от подмены DNS в локальной сети. Избегайте подозрительных ссылок. Это поможет избежать риска заражения кэша вашего браузера.
Как проверить, подверглись ли вы атаке с отравлением кэша?
После того как кэш DNS был отравлен, это сложно обнаружить. Куда лучшая тактика — осуществлять мониторинг ваших данных и защищать систему от вредоносных программ, чтобы уберечься от утечек данных в следствие отравления кэша DNS. Посетите нашу интерактивную лабораторию кибератак, чтобы увидеть, как мы используем мониторинг DNS для обнаружения реальных угроз кибербезопасности.
Как работает связь DNS?
Как злоумышленники отравляют кэш DNS?
Способов отравления кэша много, и вот самые распространенные из них: принудить жертву нажать на вредоносную ссылку, использующую встроенный код для изменения кэша DNS в браузере пользователя; взлом локального DNS-сервера с помощью «атаки через посредника». Вышеупомянутая «атака через посредника» использует подмену протокола разрешения адресов (ARP) для перенаправления DNS-запросов на DNS-сервер, контролируемый злоумышленником.
Что такое отравление кэша DNS?
Отравление кэша DNS — это действия по замене записи в базе данных DNS на IP-адрес, ведущий на вредоносный сервер, контролируемый злоумышленником.
Как выполняется подмена DNS?
Хакер выполняет атаку с подменой DNS, получая доступ и изменяя кэш DNS или перенаправляя запросы DNS на свой собственный DNS-сервер.
На некоторые сайты могут зайти только пользователи из определенных стран. Это относиться к сайтам, которые попали под различные запреты. Географическое местоположение пользователя интернета определяется по IP-адресу, соответственно, если его сменить на адрес из другой страны, доступ к нужному сайту откроется. Осталось понять, как происходит смена ip адреса в браузере.
Смена IP адреса в браузере на адрес из другой страны – как это сделать
Доступ к всемирной паутине открыт всем желающим, однако зайти можно не на каждый сайт. Во многих странах заблокированы популярные и малоизвестные сайты. Наверняка каждый из нас хоть раз сталкивался с региональными ограничениями при желании посмотреть сериал или интересный видеоролик, при попытке послушать песню, зайти на любимый торрент и так далее.
Например, интернет-пользователи из Индии не могут зайти на Spotify, в то время как для жителей США доступ к этому сайту открыт. Вы запросто можете зайти в Facebook, Instagram или Whatsapp, а вот жителям Китая доступ к ним закрыт. Еще один пример – недоступность сервиса LinkedIn на территории России или Телеграмм статей с ПК. Ситуации бывают разные, и выйти из них поможет смена ip адреса в браузере.
Помимо всего прочего смена айпи в браузере на адрес из другой страны используется в ситуациях, когда человек при просмотре сайта по каким-то причинам не хочет раскрывать свое истинное географическое местоположение или свой IP-адрес.
Как изменить IP на адрес из другой страны с помощью браузера?
Проще всего сменить IP на адрес из другой страны прямо в браузере. Сделать это можно с помощью различных расширений и плагинов. Такие плагины будут отличаться в зависимости от того, какой браузер вы используете.
Рекомендуется использовать не универсальные анонимайзеры, которые подходят для всех браузеров, а те, которые были разработаны под определенный браузер. Это поможет расширению работать более эффективно и без существенных сбоев. Обычно для установки расширения достаточно сделать несколько кликов мышью. Одно из наиболее популярных расширений для смены IP на адрес из другой страны – Hotspot Shield Free VPN Proxy. Работает оно на базе браузера Google Chrome.
О расширении Hotspot Shield для браузера Google Chrome
Данное расширение для браузера Google Chrome является одним из лучших в своем классе. У него есть бесплатный тарифный план. При его использовании человек получает шифрование своих данных и полную анонимность.
Создателем данного сервиса является компания из Калифорнии. Директор компании неоднократно публично гарантировал всем своим пользователям абсолютную анонимность и заявлял, что Hotspot Shield не сохраняет пользовательские логины и их IP-адреса. Поэтому расширение можно считать действительно надежным.
После установки расширения первоначальный IP пользователя меняется на адрес из США. При этом IP-адрес бесплатно получить можно из небольшого количества стран. Вы не сможете попасть на сайт BBC, Netflix, Hulu, а также некоторые другие веб-страницы. Кроме того вы будете сталкиваться с рекламой в Google Chrome.
Если говорить о платном тарифе, то он предоставляет гораздо больше возможностей. При условии покупки платного аккаунта вы сможете выбрать IP-адрес практически из любой страны. Благодаря этому вы получите доступ ко всем веб-сайтам. Платный тарифный план, в отличие от бесплатного, не демонстрирует рекламу в браузере.
Как установить расширение Hotspot Shield
Далее в окне поиска, доступном слева вверху, введите название расширения и нажмите кнопку поиска. Справа появятся результаты поиска по введенному запросу. После этого рядом с первым результатом нажмите кнопку «Установить».
После установки плагина Hotspot Shield Free VPN Proxy он закрепится на панели браузера вверху справа рядом с другими установленными расширениями. Чтобы активировать расширение, нажмите на него левой кнопкой мыши, перейдите в меню «бургер», размещенное слева, а затем нажмите на кнопку «Войти».
Когда перед вами откроется окно входа, в самом низу кликните по ссылке «Зарегистрироваться». После этого вам нужно будет указать действующий адрес электронной почты и придумать пароль. Пропускать этот шаг нельзя, так как при переходе на какой-либо сайт расширение будет требовать входа в созданный аккаунт.
После регистрации еще раз кликните левой кнопкой мыши по значку расширения, доступному вверху справа, и нажмите на кнопку включения. Через несколько секунд после этого произойдет подключение к серверу и ваш первоначальный IP будет изменен на адрес из другой страны. Если доступа к заблокированным сайтам не требуется и не нужна высокая анонимность, нужно открыть иконку плагина и нажать кнопку «Выключить». IP адрес восстановиться на стандартный, плагин будет полностью бездействовать до повторного включения.
Выводы и советы
Если вы столкнулись с проблемами в получении доступа к какому-либо сайту, в связи со своим географическим местоположением, благодаря современным технологиям это перестает быть неразрешимой проблемой. Существует множество расширений для браузеров, которые позволяют сменить ваш IP на адрес из другой страны, после чего вы сможете получить доступ к нужной веб-странице.
Конечно, при покупке премиум-аккаунта возможностей становится больше, но среднестатистическому пользователю будет достаточно и бесплатного тарифа. Если вы решили использовать браузерное расширение для смены IP, лучше отдать предпочтение тому решению, которое было разработано для конкретного браузера. Благодаря этому вы сможете избежать различных сбоев в его работе.
Пожалуйста, оставьте свои мнения по текущей теме статьи. За комментарии, отклики, лайки, подписки, дизлайки огромное вам спасибо!
cons23
cons23 cons23
Подмена сайта
Если вы зашли на один из сайтов Яндекса (Почта, Поиск и др.) или, нажав на один из результатов поиска, оказались не там, где ожидали, возможно, ваш компьютер заражен вирусом.
Действие вируса может проявляться и таким образом — при регистрации или авторизации на Яндексе предлагается подтвердить свои данные, отправив SMS на указанный номер.
Обращаем ваше внимание, что Яндекс никогда не требует денег с пользователей за регистрацию и использование своих сервисов, а также не предлагает подтвердить регистрацию при помощи SMS.
При попытке зайти на главную страницу http://www.yandex.ru, http://mail.yandex.ru или http://passport.yandex.ru предлагается ввести логин, пароль и отправить SMS на короткий номер. Страница похожа на ту, что используется для входа на почту.
Распространяется этот вирус в основном через социальные сети.
Что с этим делать?
Проверьте свой компьютер антивирусной утилитой CureIt от «Dr.Web» или Virus Removal Tool Лаборатории Касперского.
Если антивирусная программа не обнаружила вредоносный код, вы можете удалить вирус вручную.
Перед этим внимательно ознакомьтесь с действиями, которые необходимо выполнить. Помните, что вы выполняете их на свой страх и риск.
Когда вы набираете адрес, например, http://www.yandex.ru, ваш компьютер определяет, к какому серверу нужно обратиться. В первую очередь он «просматривает» файл hosts (обычно этот файл находится в папке C:\WINDOWS\system32\drivers\etc), и, если в нем есть адрес сервера (IP-адрес) для указанного вами имени, то используется именно он. Если же подходящей записи нет, то нужный адрес сервера запрашивается у вашего провайдера.
SMS-вирус меняет содержимое файла hosts, дописывая туда адреса своих серверов так, чтобы они заменили адрес Яндекса и других популярных интернет-сервисов. В результате вам кажется, что вы видите страницу Яндекса и работаете с ней, но на самом деле вы находитесь на сервере злоумышленников.
Для уничтожения последствий работы вируса, необходимо выполнить следующие действия:
Перейдите в папку C:\WINDOWS\system32\drivers\etc (возможно, у вас система Windows установлена в папку, отличную от C:\WINDOWS — учитывайте это) и найдите там файл с названием hosts.
ВАЖНО: Сохраните копию этого файла на всякий случай!
Откройте файл с помощью блокнота (Notepad) и поищите в нем строки следующего вида:
ВАЖНО: адреса, т.е. 4 числа через точку, могут быть другими, например, не 91.189.113.143, а 83.133.122 и т.п.)
Удалите все строки, отличные от «127.0.0.1 localhost».
ВАЖНО: строку «127.0.0.1 localhost» удалять не следует.
8 лучших способов скрыть или поменять свой IP адрес
Подмена IP-адреса не имеет большой трудности, если вы знаете, какие типы инструментов использовать. Я применяю разные способы, такие как изменение IP-адреса для доступа к гео-ограниченным или заблокированным сайтам. Эти методы также позволяют сохранять зашифрованное и анонимное подключение к Интернету.
Интернет состоит из огромного количества сетевых устройств, эти устройства могут быть связаны в различные сети. Для общения между группами сетей был разработан специальный идентификатор (IP адрес), который позволяет организовать связь между сетями.
Вот список из 9 захватывающих методов, которые позволяют вам поменять адрес.
Прокси контролируют ваши соединения и действуют как мосты, которые поддерживают поток вашего интернет-трафика. Эти серверы «посредники» отправляют ваши данные в виде пакетов по вашему предпочтительному адресу. Короче говоря, вы можете подключиться к любому прокси-серверу по всему миру.
Используйте TOR
Короче говоря, браузер Tor работает как онлайн-инструмент анонимности. Интересно, что вам не нужно платить ни копейки, чтобы воспользоваться такой функцией. Когда вы используете TOR, он назначает вам новый IP-адрес, как VPN. К счастью, у вас есть много вариантов, когда дело доходит до изменения ваших IP-адресов.
Вот список некоторых относительно неизвестных безопасных браузеров, которые позволяют вам регулярно получать новый IP-адрес:
Позвоните своему интернет-провайдеру (ISP)
Позвоните своему поставщику интернета и откажитесь от постоянного статического адреса, используйте только динамические IP.
Используйте мобильную сеть
Если вы используете собственные сотовые данные, вы можете изменить свой IP-адрес в кратчайшие сроки. Это связано с тем, что ваши сотовые данные имеют совершенно другую систему по сравнению с вашим провайдером. Таким образом, вы можете легко скрыть данные в интернете из любой точки мира.
Использовать общедоступный Wi-Fi — незащищенный
Еще один способ — это подключение к общедоступной сети Wi-Fi, находясь в пути. После подключения к общедоступной сети Wi-Fi вы можете без проблем менять свой IP на своих ноутбуках. Однако этот метод никоим образом не защищает ваш веб-серфинг. То же самое касается мобильных данных, так как они не защитят ваши онлайн-активности.
Сброс вашего модема
Удивительно, но вы можете получить другой IP-адрес, если отсоедините модем и снова включите его через некоторое время. Таким образом, вы можете сразу же подделать ваше онлайн-местоположение. Когда вы принудительно отключаете модем, он заставляет вашего интернет-провайдера назначить вам новый IP-адрес. Однако вы должны убедиться, что ваш провайдер работает по механизму динамического IP.
Измените свое физическое местоположение
Несомненно, когда вы используете Интернет на своем рабочем месте, вам присваивается другой IP-адрес по сравнению с IP-адресом при подключении к Интернету дома. Таким образом, вы можете скрыть себя без стресса.
Используйте программное обеспечение IP Hider
Вы можете использовать программное обеспечение, которое позволяет мгновенно подделывать ваши онлайн-адреса. Например, вы можете замаскироваться из любого места через IP Hider Pro. С помощью этого профессионального инструмента вы можете в определенной степени защитить свой интернет-трафик от хакеров и других участников наблюдения.
Скрытие вашего IP-адреса — одна из самых важных тактик безопасности, которая позволяет вам защитить себя и свои данные на другом уровне. Существуют различные способы защитить ваше цифровое существование, но ничто не приближается к VPN. Он скрывает ваши IP-адреса и обеспечивает максимальный уровень анонимности для своих пользователей в кратчайшие сроки.
На видео:Три способа скрыть свой IP
