Атаки с подменой DNS: руководство для администраторов веб-сайтов
Как защитить ваш сайт от атак с подменой кэша DNS
Существуют буквально сотни эксплойтов и несколько миллионов вирусов, которые могут проникнуть в вашу сетевую защиту. Преследовать их все — это работа на полный рабочий день. К счастью, этой работой занимаются специалисты, единственная цель которых — кибербезопасность и технологии, предназначенные для обнаружения и искоренения нарушителей спокойствия. Один из самых одиозных и трудно обнаруживаемых — «отравление» DNS, также известный как подмена DNS или перенаправление DNS. Что это за цифровая болезнь, и что вы можете сделать, чтобы защитить свои сети? Давайте обсудим это.Что такое перенаправление DNS?
Системы доменных имен являются эквивалентом телефонного справочника интернета. Каждый веб-сайт имеет уникальное доменное имя, которое используется для определения его местоположения в интернете. Атака на сервер доменных имен (DNS) — это киберпреступность, которая исследует эти серверы в поисках слабых мест для использования. Оказавшись внутри, они могут изменить кодировку или другую информацию. Проще говоря, атака с подменой DNS компрометирует DNS-серверы, поэтому посетители, которые пытаются зайти на веб-сайт, тайно перенаправляются на неверный IP-адрес за кулисами. Пользователь может ввести google.com в адресную строку его браузера, но на самом деле он будет перенаправлен на сервер, управляемый хакером. Основным симптомом атаки подмены DNS является внезапное, необъяснимое падение веб-трафика. Хотя веб-трафик всегда неустойчив, если вы видите резкое сокращение числа посетителей вашего сайта, всегда стоит исследовать, почему. Иногда вы можете обнаружить атаку отравления DNS, притворяясь клиентом: одолжите компьютер друга или используйте VPN, чтобы изменить свое местоположение и попытаться получить доступ к вашему сайту. Если вы перенаправлены на сайт, который вы не узнаете, велика вероятность того, что ваш DNS-кэш был скомпрометирован.Как DNS эксплойт ставит под угрозу ваш сайт
В отличие от прямого отказа в обслуживании (DDoS), который перегружает ваш сервер, посылая лавину запросов, DNS-спуфинг незаметно отвлекает трафик от вашего сайта. После того, как люди были заманены на поддельный сайт, все виды неправомерных действий могут произойти DNS эксплойты могут распространяться от сервера к серверу, влияя на все большее и большее количество пользователей. Это связано с особенностями того, как работают IP-адреса и системы доменных имен. Доменные имена могут читать только люди. Когда URL-адрес вводится в адресную строку браузера, он отправляет запрос на сервер, который возвращает числовой IP-адрес, который может быть прочитан компьютером. Много раз он возвращает более одного IP-адреса. Поскольку интернет-провайдеры обрабатывают миллионы запросов и IP-адресов, все они хранятся в одном кэше до тех пор, пока запрос не будет перенаправлен в нужное место. В дополнение к серверу и провайдеру, используемому для доступа в интернет, ваш маршрутизатор действует как тип DNS-сервера, который кэширует информацию с серверов, подключенных к вашему провайдеру. Это много потенциальных поверхностей атаки и точек входа для защиты. Теоретически, единственный верный способ остановить цикл подмены — это одновременно очистить каждый кэш, подключенный к DNS, интернет-провайдерам и персональным или бизнес-маршрутизаторам. На практике наиболее вероятное исправление заключается в том, что DNS-сервер, находящийся выше по потоку, исправляет поврежденную запись, а затем передает правильные данные остальным. Недавний пример воздействия этих эксплойтов — прошлогодняя атака на серверы MyEtherWallet. Это преступление включало в себя захват домена криптокомпании и перенаправление владельцев счетов на фишинговый сайт, где их обманом заставляли раскрыть ключи безопасности кошелька и перевести деньги со своих счетов на кошелек хакера. Злоумышленник смог получить $ 160 000 в криптовалюте Ethereum до того, как было обнаружено нарушение. Что делает эти эксплойты настолько трудными для обнаружения, так это то, что они происходят на стороне пользователя. Владельцы учетных записей понятия не имеют, что домен был захвачен, и они перенаправлены на вымышленный сайт. Они просто проходят через свою обычную рутину. Владельцы веб-сайтов не заметят ни того, ни другого, пока не обнаружат проблему со своими метриками.Предотвращение атак подмены DNS
Первого февраля каждого года различные разработчики программного обеспечения DNS проводят симпозиум Дня флага DNS для решения проблем безопасности и создания показателей соответствия, чтобы укрепить проблемы с серверами. Тем не менее, они не смогли сделать достаточно, чтобы идти в ногу с новыми или обновленными атаками. Предотвращение DNS-атак важно для двух групп: пользователей, которые хотят избежать подделки, и системных администраторов, которые хотят защитить свой собственный сайт от такого рода атак. В этом разделе мы дадим вам методы для предотвращения подмены кэша DNS с обеих точек зрения.Предотвращение подмены кэша DNS в качестве системного администратора
Давайте сначала рассмотрим администрацию сайта. Поскольку владельцам веб-сайтов и администраторам зачастую очень трудно обнаружить подмену DNS до тех пор, пока не будет нанесен большой ущерб, а эксплойты могут быть распространены на каждый связанный DNS после запуска, профилактика является лучшим лекарством.Выбирайте свою платформу с умом
Первое, что нужно сделать для предотвращения подмены DNS, — это выбрать безопасную платформу хостинга и систему управления контентом. Если у вас нет бюджета для выделенного сервера, убедитесь, что выбранный вами хостинг-план имеет самые современные стандарты шифрования, защиту от утечки DNS, аутентификацию SSL и комплексную систему резервного копирования и восстановления. Если вы используете WordPress в качестве CMS, следуйте основным процедурам безопасности, таким как двухфакторная аутентификация (2FA) и регулярные обновления программного обеспечения.Держите ваши DNS-серверы в актуальном состоянии
В дополнение к выбору правильной платформы хостинга для ваших потребностей в безопасности, вам нужно постоянно обновлять ваш DNS-сервер. Независимо от того, используете ли вы Bind, MicrosoftDNS или другой сервер, в последней версии всегда будут установлены исправления и исправления безопасности, а также стандарты безопасности, такие как HSTS, DNSSec и Response Rate Limiting (RRL) для отражения DNS-атак.Используйте DNSSEC
Вероятно, самая важная вещь, которую вы можете сделать для защиты от подмены DNS — это использование DNSSec, который имеет решающее значение для предотвращения отравления кэша DNS. В последние годы стандарт был усилен функциями, специально разработанными для предотвращения такого рода атак. Он будет проверять корневой домен (а точнее, элемент, называемый «подписью корневого домена») всякий раз, когда конечный пользователь пытается получить доступ к сайту.Делайте аудит ваших зон
Многие частные DNS-серверы загружены старыми тестовыми доменами и поддоменами, которые находятся вне поля зрения и сознания. Они созрели для эксплуатации. Вы можете отслеживать все зоны, в том числе скрытые или забытые, а также все IP-адреса и записи, используя такой инструмент, как Security Trails. Эти типы инструментов позволяют обнаружить возможные уязвимости и предотвратить атаки до того, как они произойдут.Форсирование HTTPS
С помощью HSTS вы можете заставить браузеры всегда загружать ваш сайт на HTTPS. Это поможет вам избежать подмены кэша DNS одним ключевым способом: хакер, создающий поддельную версию вашего сайта, вряд ли сможет получить доверенный сертификат SSL/TLS для вашего домена. Это означает, что когда посетители будут перенаправлены на поддельную версию вашего сайта хакера, они получат большое предупреждение безопасности в своем браузере.Предотвращение подмены кэша DNS в качестве пользователя
Пользователи также должны знать об опасности подмены DNS, так как этот тип атаки может обмануть вас, вводя конфиденциальные данные в поддельные веб-сайты. Вот несколько способов, которыми вы можете этого избежать:Выключайте версию вашего Bind
Хакеры обычно отслеживают общие недостатки в различных поколениях часто используемых платформ. Затем они используют эту информацию для взлома сетей или платформ, использующих определенную версию. Скрывая версии программного обеспечения, вы можете немного затруднить хакерам выполнение подмены DNS. Если вы используете популярную службу DNS на базе Linux, под названием Bind, маскировка Вашей версии Bind — хорошая идея.Если Bind-это ваше программное обеспечение DNS, все, что требуется хакеру, чтобы получить номер вашей версии, — это выполнить удаленный запрос с помощью этого кода: dig @ns1.server.com -c CH-t txt version.bind, который вернет такой ответ, если версия Bind не скрыта:
ANSWER SECTION: VERSION.BIND. 0 CH TXT "named 9.8.2...