Что будет если поменять днс сервер

Подмена DNS сервера. Будьте осторожны

Хочу поделиться с вами случаем, который недавно со мной произошел. Надеюсь, кого-то эта статья сможет уберечь от потери приватных данных и, даже, денег.

Завязка

Началось все с того, что один из моих знакомых, посетовал, что мобильную версию ВКонтакте закрыли. Я очень удивился, потому как не видел для этого никак объективных причин, и поспешил проверить, так ли это. Переход на m.vk.com развеял мои сомнения — все работало. В ходе расспроса знакомого, выяснилось, что у него m.vk.com сообщает о том, что весь сервис переехал на мобильное приложение и предлагает это приложение скачать. Очевидно, это шалят вирусы, подумал я, и попросил знакомого дать взглянуть на его машину.

Первым делом, я самолично взглянул на этот фейк, все выглядело очень правдоподобно: было хорошо сверстано и URL был именно m.vk.com. Так что, можно было действительно подумать, что мобильная версия ВК закрылась.
Ну что это может быть? Конечно же, hosts! Открывая его, я уже был готов спасти знакомого от страшной напасти, но… в файле не оказалось ничего, кроме стандартных комментариев. Так же не было и другого, скрытого hosts, как это иногда бывает. Тщательное изучение запущенных процессов не дало ничего интересного, ровным счетом как и гуглирование предлагаемого для скачивания приложения. Я призадумался.

Мои мыслительные процессы прервал знакомый, сообщив, что та же самая история происходит и при попытке зайти в ВК с телефона. Это была зацепка. Телефон был подключен к домашней wi-fi точке, к той же, что и проблемный компьютер. Попросив знакомого зайти в ВК с мобильного интернета, отключившись от wi-fi, я отмел вариант заражения телефона — открывалась настоящая версия. Вывод был только один — заражен роутер.

Всему виной безответственность

Перейдя на 192.168.1.1, я попросил знакомого логин и пароль от роутера и услышал в ответ… admin:admin! Что?! Как можно было не сменить пароль на роутере раздающем wi-fi?! Поразительная безответственность! Знакомый пожал плечами.
Проверив DNS я обнаружил следующее:

Второй адрес мне хорошо известен, это DNS Google, а вот первый я раньше не встречал. Он был даже не из нашего региона.
Ничего, кроме как перейти по этому адресу, в голову не пришло. Предо мной предстал фейк QIWI, при чем, опять же, отменного качества. (Кстати, он до сих пор там).

Я удалил этот адрес из DNS, заменив его стандартным для нашего региона, сменил пароль на роутере и перезапустил его. После этого, все заработало как положено. Выслушав благодарности знакомого, я решил заняться фейком поплотнее.

Вот это поворот

2ip.ru сказал, что адрес украинский и показал из какого он диапазона. Диапазон был небольшим, поэтому логично было бы его просканировать. Сказано-сделано. Полчаса возни и был обнаружен другой интересный адрес. Вот он: 176.102.38.39.

Сейчас там расположена ненормативная лексика, но когда я его нашел, там была форма с названием «Fake admin panel» и поля для логина и пароля. Чем черт не шутит? Подумал я, и ввел admin:admin. Как вы думаете, что произошло?

Я оказался в админке, с логами всех входов в фейки мошенников! Поразительно, они попались на своем же методе заражения.
Признаю, я сначала подумал, что это ханипот, и попробовал войти в один из кошельков QIWI из лога. Данные были верными, на счету кошелька было около 1000 рублей. Значит, это не ханипот. Я вышел из кошелька, и начал изучать админку.

В тылу врага

Неплохие результаты (не считая btc), да?

Отдельно нужно отметить лог QIWI, судя по всему, ради него это все и было сделано. В логе QIWI отображался не только логин, пароль и IP, но и баланс на момент входа, а так же включено ли SMS подтверждение для платежей (что поразительно, в большей части аккаунтов оно было выключено). Такой лог, говорит о том, что после авторизации через фейк, человека авторизировало на реальном QIWI, и бедняга даже не подозревал о подвохе.

В правом верхнем углу отображается количество записей, которые еще не убраны в архив (замечу, что эти записи пополнялись очень быстро).
А внизу (на картинке не видно), были кнопочки для удобного экспорта не архивных логов в txt файл и кнопочка для восстановления всех записей из архива.

Ощущая, что мое время на исходе, я восстановил все записи из архива QIWI и скачал их себе. Хотел проделать тоже самое с остальными сервисами, но не смог. Потому как при следующем запросе я увидел ошибку 403, а потом и то, что там есть сейчас.

Результаты

Полученный файл я очистил от одинаковых записей и проверил нет ли там кошелька моего знакомого. Знакомому повезло, его кошелек в руки мошенников не попал.
Вот этот файл (естественно без паролей), можете проверить, нет ли там вашего кошелька.

Быть осторожен, хаброжитель, зло не дремлет!

Источник

Простое изменение конфигурации DNS может иметь огромное значение

Знаете ли вы, что можно повысить производительность и безопасность работы в Интернете, выбрав альтернативный преобразователь DNS? Хорошей новостью является то, что это бесплатно, а настройка занимает около минуты вашего времени.

Что такое DNS преобразователь

Система доменных имен (DNS) может часто встречаться в разговоре сетевого администратора, но средний пользователь, вероятно, не знает или не заботится о том, что такое DNS или что он для него делает.

DNS – это «клей», который связывает доменные имена и IP-адреса вместе. Если у вас есть сервер и вы хотите, чтобы люди могли на него заходить, используя доменное имя, вы можете заплатить пошлину и зарегистрировать свое уникальное доменное имя (если оно доступно) у интернет-регистратора. Если у вас есть доменное имя, связанное с IP-адресом вашего сервера, тогда люди могут перейти на ваш сайт, используя ваше доменное имя вместо того, чтобы вводить IP-адрес. DNS-преобразователи помогают это сделать.

Сервер распознавателя DNS позволяет компьютеру (или лицу) искать доменное имя (например, webznam.ru) и находить IP-адрес компьютера, сервера или другого устройства, к которому он принадлежит (например, 193.109.246.72). Думайте о преобразователе DNS как телефонной книге для компьютеров.

Когда вы вводите доменное имя веб-сайта в веб-браузер, за кулисами работает сервер распознаватель DNS, на который указывает ваш компьютер, определяющий IP-адрес, к которому введёт доменное имя, чтобы ваш браузер мог получить всё, что предлагает сайт. DNS также используется для определения того, на какой почтовый сервер должно отправляться сообщение. У него много и других целей.

На что настроен ваш DNS преобразователь

Большинство домашних пользователей используют распознаватель DNS, который им назначает поставщик услуг Интернета (ISP). Обычно он назначается автоматически при настройке кабельного / DSL-модема или когда ваш беспроводной / проводной интернет-маршрутизатор автоматически подключается к DHCP-серверу вашего интернет-провайдера и получает IP-адрес для использования вашей сетью.

Обычно вы можете узнать, какой DNS-распознаватель вам назначен, перейдя на страницу подключения «WAN» вашего маршрутизатора и в разделе «DNS-серверы». Обычно их два, основной и альтернативный. Эти DNS-серверы могут быть размещены вашим провайдером или нет.

Вы также можете увидеть, какой DNS-сервер используется вашим компьютером, открыв командную строку, набрав nslookup и нажав клавишу Enter. Вы должны увидеть имя и IP-адрес «DNS-сервера по умолчанию».

Зачем использовать альтернативный DNS

Ваш интернет-провайдер может отлично справиться с настройкой DNS-серверов, и они могут быть совершенно безопасными или нет. У них могут быть тонны ресурсов и отличное оборудование на их преобразователях DNS, так что вы получите сверхбыстрое время отклика, а может и нет.

Возможно, вы захотите переключиться с серверов DNS, предоставляемых интернет-провайдером, на альтернативу, по нескольким причинам:

Причина №1 – альтернативные DNS могут повысить скорость просмотра веб-страниц

Некоторые альтернативные поставщики DNS утверждают, что использование их общедоступных DNS-серверов может обеспечить более быстрый просмотр веб-страниц конечными пользователями за счет уменьшения задержки поиска DNS. То, что вы заметите, зависит от вашего личного опыта. Если всё станет медленнее, вы всегда можете вернуться к своему старому назначенному провайдером DNS.

Причина №2 – альтернативные DNS могут повысить безопасность

Некоторые альтернативные провайдеры DNS утверждают, что их решения предлагают несколько преимуществ безопасности, таких как фильтрация вредоносных программ, фишинговых и мошеннических сайтов, а также снижение риска атак отравления кеша DNS.

Причина №3 – некоторые DNS предлагают автоматическую фильтрацию содержимого

Хотите защитить ваших детей от доступа к «несемейному» контенту? Вы можете выбрать поставщика DNS, который выполняет фильтрацию содержимого. Например, Яндекс.DNS предлагает серверы DNS, которые отфильтровывают нежелательный контент.

Это не означает, что ваши дети не смогут просто ввести IP-адрес для неподходящего сайта и получить к нему доступ таким образом, но это добавит значительную преграду на пути поиска зрелого веб-контента.

Как переключите свой DNS Resolver

Лучший способ переключения DNS – настройка вашего маршрутизатора, так что вам нужно изменить его только в одном месте. После того, как вы измените его на своем маршрутизаторе, все клиенты в вашей сети (при условии, что вы используете DHCP для автоматического назначения IP-адресов клиентским устройствам) должны автоматически подключаться к новым DNS-серверам.

Обратитесь к справочному руководству вашего роутера за подробной информацией о том, как и где изменить записи вашего DNS-сервера.

Прежде чем вносить какие-либо изменения, вам следует проконсультироваться с поставщиком услуг Интернета и производителем маршрутизатора для получения конкретных инструкций для вашей ситуации. Вы также должны записать текущие настройки или сделать снимок экрана на странице настроек, прежде чем вносить какие-либо изменения, в случае, если изменение не сработает.

Альтернативные DNS-провайдеры

Вот несколько известных альтернативных провайдеров DNS, которые стоит рассмотреть. Это текущие IP-адреса на момент публикации этой статьи. Вам следует проверить у поставщика DNS, обновлены ли IP-адреса, прежде чем вносить изменения.

Примечание относительно альтернативных DNS

Ни одна из этих услуг не сможет отфильтровать все возможные вредоносные программы, фишинговые сайты и контент для взрослых, но они должны, по крайней мере, сократить число этих типов сайтов. Если вы не чувствуете, что одна служба успешно справляется с фильтрацией, вы всегда можете обратиться к другому провайдеру, чтобы узнать, лучше ли он.

Источник

Семь причин использовать сторонние DNS-службы

Автор: Крис Хоффман
Оригинал статьи: 7 Reasons to Use a Third-Party DNS Service
Перевод на русский язык: Александр Рябов, Comss.ru

В прошлом мы уже рассматривали сторонние DNS-серверы, такие как OpenDNS и Google Public DNS, но сейчас мы просто расскажем о том, почему вам, возможно, стоило бы поменять DNS-сервер.

Возможно повышение скорости

Если все, что вам необходимо, это лишь хорошая скорость, вы можете увидеть преимущества от перехода на сторонний сервер DNS, а можете и не увидеть. Чтобы узнать точно, вы должны запустить инструмент сравнительного тестирования DNS, например Namebench, который сделает DNS-запросы вашему текущему DNS-серверу и другим серверам DNS, проверив, сколько времени каждому из этих серверов требуется, чтобы ответить.

Популярные сторонние сервисы, предоставляющие DNS, такие как Google Public DNS или OpenDNS, для вас могут оказаться более быстрыми. Если это так, Namebench даст об этом знать.

Отметьте, что Namebench не может оценить эффективность каждого фактора. Например, Google Public DNS и OpenDNS участвуют в “Глобальной инициативе интернет-ускорения”, которая позволяет участвующим DNS-службам узнать ваш IP-адрес и ответить с таких IP-адресов, которые более близки к вам, увеличивая тем самым скорость связи. Другие серверы DNS, подобные тем, что предлагает ваш провайдер, не столь же расторопны в реализации таких новых технологий.

Возможно улучшение надежности

Это тесно связано с уже отмеченной возможностью улучшения скорости. Если ваш Интернет-провайдер не слишком заботится о том, чтобы его серверы DNS работали быстро и стабильно, вы можете столкнуться с периодами, когда не удается загрузить веб-сайты или когда они загружаются очень медленно из-за слишком длительных DNS-запросов. Если ваш провайдер не выполняет свою работу должным образом, переключение на сторонний DNS-сервер может принести вам большую надежность.

Родительский контроль

Если у вас есть маленькие дети и вы хотите установить веб-фильтрацию, есть множество различных путей, как это можно сделать. Один из самых простых способов настройки веб-фильтрации состоит в том, чтобы поменять ваши серверы DNS на серверы OpenDNS. Поменяйте сервер DNS на своем маршрутизаторе, и вы сможете сконфигурировать настройки родительского контроля на веб-сайте OpenDNS, что позволит вам блокировать определенные категории веб-сайтов и просматривать веб-сайты, доступные из вашей домашней сети.

Это особенно удобно тем, что после изменения настроек на вашем маршрутизаторе и установки родительского контроля на веб-сайте OpenDNS настройки будут применяться к каждому устройству в вашей домашней сети — к ПК, работающим с любой операционной системой, игровым приставкам, смартфонам, планшетам, и др. Когда DNS-запрос для IP-адреса такого веб-сайта был послан, OpenDNS возвращает другой IP-адрес. Браузер пользователя соединяется с этим адресом и получает сообщение о том, что веб-сайт, к которому он пытается получить доступ, был заблокирован.

Примите во внимание то, что это не очень надежно. Пользователь в вашей сети может просто изменить сервер DNS своего устройства, чтобы обойти фильтрацию. Маленькие дети не смогут сделать это, но подростки вполне могли бы — точно так же, как и в отношении большей части других средств родительского контроля.

Защита от фишинга

OpenDNS также выполняет фильтрацию, с целью блокирования фишинговых сайтов. У современных браузеров есть встроенная защита против фишинга, но если вы работаете в сети, которая включает компьютеры с Windows XP и Internet Explorer 6, то использование OpenDNS даст всем этим компьютерам некоторую защиту от похищения личных данных, которой в противном случае у них бы не было.

Другие DNS-службы не предлагают эту функцию. Например, Google Public DNS не включает функций фильтрации контента, поскольку она стремится функционировать просто как быстрая служба DNS без каких бы то ни было излишеств.

Средства защиты

Сторонние серверы DNS, как например OpenDNS и Google Public DNS, также предлагают средства защиты, которые еще не были реализованы в DNS-серверах многих провайдеров. К примеру, Google Public DNS поддерживает DNSSEC, чтобы гарантировать, что запросы DNS имеют правильные подписи и достоверны. На серверах DNS вашего проваайдера такие защитные функции, возможно, еще не реализованы.

Если бы законопроект SOPA был принят, то никакие американские серверы DNS не поддерживали бы DNSSEC, поскольку SOPA поставил бы DNSSEC вне закона. Если бы американцы хотели иметь преимущества DNSSEC, они были бы вынуждены использовать зарубежные DNS-серверы.

Доступ к контенту, заблокированному по географическим критериям

Специальные сторонние серверы DNS могут также открыть вам доступ к определенному географически заблокированному контенту. Например, переключившись на Unblock-Us можно получить доступ к таким СМИ, как Netflix, Hulu и BBC iPlayer, независимо от того, где в мире вы находитесь. Когда ваш компьютер делает DNS-запрос, DNS-служба выполняет некоторое туннелирование, чтобы заставить сервис исходить из того, что вы находитесь где-то в другом месте мира. Это удобная возможность, потому что она позволяет добраться до этих сервисов с любого устройства всего лишь за счет изменения DNS-сервера на своем маршрутизаторе.

Вам не стоит использовать бесплатный сервис в качестве своего основного DNS-сервиса — переключение на него обязательно будет замедлять просмотр веб-страниц. Если вы пользуетесь одним из них, вам нужно использовать такой инструмент, как DNS Jumper для быстрого переключения на него, когда вам это понадобится, и переключения обратно, когда закончите свое дело.

UnoDNS и Unblock-Us работают таким же образом и не имеют этого ограничения, но, с другой стороны, вам придется заплатить за них.

Обход веб-цензуры

Некоторые Интернет-провайдеры и государства блокируют веб-сайты только на уровне DNS. Например, Интернет-провайдер может “блокировать” example.com за счет перенаправления его входного DNS к другому веб-сайту. Если веб-сайт будет блокирован таким методом, замена вашего сервер DNS на стороннюю службу DNS, которая не блокирует этот веб-сайт, позволит вам получить доступ к нему. Как пример можно привести случай, который произошел в тот момент, когда The Pirate Bay был блокирован в Великобритании. Люди могли поменять свои серверы DNS, чтобы снова им пользоваться.

Обратите внимание на то, что веб-сайты часто блокируются на уровне IP, таким образом, это не всегда будет срабатывать. Например, в брандмауэре используется множество приемов блокирования веб-сайтов, включая DNS-блокирование.

Namebench включает опцию, с помощью которой проверяются серверы DNS на цензуру, чтобы определить, подвергаются ли результаты работы текущих серверов DNS цензуре.

Если вы захотите поменять DNS-серверы, то Вы, вероятно, захотите поменять сервер DNS на своем роутере, который окажет влияние на всю вашу домашнюю сеть. Вы можете также изменить сервер DNS на единственном компьютере, что окажет влияние только на этот конкретный компьютер.

А какими DNS-службами пользуетесь вы? Для каких целей? Поделитесь своим опытом и настройками в комментариях.

Источник

Как хакеры подменяют DNS-запросы с помощью «отравления» кэша

Подмена сервера доменных имен (DNS) — это кибератака, с помощью которой злоумышленник направляет трафик жертвы на вредоносный сайт (вместо легитимного IP-адреса). Злоумышленники используют метод «отравления» кэша DNS для перехвата интернет-трафика и кражи учетных данных или конфиденциальной информации. Отравление кэша DNS и подмена DNS — тождественные понятия, часто используемые как синонимы. Хакер хочет обманом заставить пользователей ввести личные данные на небезопасном сайте. Как ему этого добиться? С помощью отравления кэша DNS. Для этого хакер подменяет или заменяет данные DNS для определенного сайта, а затем перенаправляет жертву на сервер злоумышленника вместо легитимного сервера. Таким образом хакер добивается своей цели, ведь перед ним открываются широкие возможности: он может совершить фишинговую атаку, украсть данные или даже внедрить в систему жертвы вредоносную программу.

Что такое подмена DNS и отравление кэша?

Прежде чем начать разговор об отравлении кэша DNS, сначала давайте вспомним, что такое DNS и кэширование DNS. DNS — это всемирный каталог IP-адресов и доменных имен. Можно сказать, что это своеобразный телефонный справочник интернета. DNS переводит удобные для пользователей адреса, такие как varonis.com, в IP-адреса, например 92.168.1.169, которые используются компьютерами для работы в сети. Кэширование DNS — это система хранения адресов на DNS-серверах по всему миру. Для ускорения обработки ваших DNS-запросов разработчики создали распределенную систему DNS. Каждый сервер хранит список известных ему DNS-записей, который называется кэшем. Если на ближайшем к вам DNS-сервере нужный IP-адрес отсутствует, он запрашивает вышестоящие DNS-серверы до тех пор, пока адрес веб-сайта, на который вы пытаетесь попасть, не будет найден. После этого ваш DNS-сервер сохраняет эту новую запись в вашем кэше, чтобы в следующий раз получить ответ быстрее.

Примеры и последствия отравления кэша DNS

Концепция DNS не приспособлена к специфике современного интернета. Конечно, со временем DNS был усовершенствован, однако сейчас по-прежнему достаточно одного неправильно настроенного DNS-сервера, чтобы миллионы пользователей ощутили на себе последствия. Пример — атака на WikiLeaks, когда злоумышленники с помощью отравления кэша DNS перехватывали трафик, перенаправляя его на собственный клон сайта. Целью этой атаки было увести трафик с WikiLeaks, и она достигла определенного успеха. Отравление кэша DNS весьма непросто обнаружить обычным пользователям. В настоящее время система DNS построена на доверии, и это является ее слабым местом. Люди чересчур сильно доверяют DNS и никогда не проверяют, соответствует ли адрес в их браузере тому, что им в действительности нужно. Злоумышленники же пользуются этой беспечностью и невнимательностью для кражи учетных данных и другой важной информации.

Как работает отравление кэша DNS?

Отравление кэша DNS означает, что на ближайшем к вам DNS-сервере содержится запись, отправляющая вас по неверному адресу, который, как правило, контролируется злоумышленником. Существует ряд методов, которые используют злоумышленники для отравления кэша DNS.

Перехват трафика локальной сети с помощью подмены протокола ARP

Вы удивитесь, насколько уязвимой может быть локальная сеть. Многие администраторы могут пребывать в уверенности, что перекрыли все возможные доступы, но, как известно, дьявол кроется в деталях.

Одна из распространенных проблем — сотрудники, работающие удаленно. Можно ли быть уверенными, что их сеть Wi-Fi защищена? Хакеры могут взломать слабый пароль от сети Wi-Fi за считанные часы.

Еще одна проблема — открытые порты Ethernet, доступные всем желающим в коридорах, вестибюлях и других общественных местах. Просто представьте: посетитель может подключить к своему устройству кабель Ethernet, предназначенный для дисплея в вестибюле. Как хакер может использовать доступ к вашей локальной сети, полученный одним из перечисленных выше способов? Во-первых, он сможет создать фишинговую страницу для сбора учетных данных и другой ценной информации. Затем он может разместить этот сайт либо в локальной сети, либо на удаленном сервере, и для этого ему потребуется всего-навсего одна строка кода на Python. После этого хакер может начать следить за сетью с помощью специальных инструментов, таких как Betterrcap. На этом этапе хакер изучает сеть и производит рекогносцировку, но трафик все еще проходит через маршрутизатор. Затем злоумышленник может совершить подмену протокола разрешения адресов (ARP), чтобы изнутри изменить структуру сети. Протокол ARP используется сетевыми устройствами для связывания MAC-адреса устройства с IP-адресом в сети. Bettercap будет отправлять сообщения, заставляя все устройства в сети считать компьютер хакера маршрутизатором. Благодаря этой уловке хакер сможет перехватывать весь сетевой трафик, проходящий через маршрутизатор. Достигнув перенаправления трафика, злоумышленник может запустить модуль Bettercap для подмены DNS. Этот модуль будет искать любые запросы к целевому домену и отправлять жертве ложные ответы. Ложный ответ содержит IP-адрес компьютера злоумышленника, переправляя все запросы к целевому сайту на фишинговую страницу, созданную хакером. Теперь хакер видит трафик, предназначенный для других устройств в сети, собирает вводимые учетные данные и внедряет вредоносные загрузки.
Если же хакер не может получить доступ к локальной сети, он прибегнет к одной из следующих атак.

Подделка ответов с помощью атаки «дней рождения»

DNS не проверяет подлинность ответов на рекурсивные запросы, поэтому в кэше сохраняется первый ответ. Злоумышленники используют так называемый «парадокс дней рождения», чтобы попытаться предугадать и отправить поддельный ответ запрашивающей стороне. Для предугадывания атака «дней рождения» использует математику и теорию вероятностей. В этом случае злоумышленник пытается угадать идентификатор транзакции вашего DNS-запроса, и в случае успеха поддельная запись DNS попадает к вам раньше легитимного ответа. Успех атаки «дней рождения» не гарантирован, но в конце концов злоумышленник сможет подложить в кэш поддельный ответ. После того как атака увенчается успехом, хакер сможет видеть трафик от поддельной записи DNS до окончания жизненного цикла (TTL) записи DNS.

Эксплойт Каминского

Эксплойт Каминского является разновидностью атаки «дней рождения». Обнаруживший эту уязвимость Дэн Каминский впервые представил ее на конференции BlackHat в 2008 году. Суть эксплойта заключается в том, что сначала хакер отправляет DNS-резолверу запрос для несуществующего домена, например fake.varonis.com. Получив такой запрос, DNS-резолвер перенаправляет его на авторитетный сервер имен, чтобы получить IP-адрес ложного субдомена. На этом этапе злоумышленник перегружает DNS-резолвер огромным количеством поддельных ответов в надежде, что один из этих поддельных ответов совпадет с идентификатором транзакции исходного запроса. В случае успеха хакер подменяет в кэше DNS-сервера IP-адрес, например, как в нашем примере с varonis.com. Резолвер продолжит отвечать всем запрашивающим, что поддельный IP-адрес varonis.com является настоящим, пока не истечет жизненный цикл записи DNS.

Как обнаружить отравление кэша DNS?

Как обнаружить, что кэш DNS отравлен? Для этого нужно следить за вашими DNS-серверами в поисках индикаторов возможной атаки. Однако ни у кого нет вычислительных мощностей, чтобы справиться с такими объемами DNS-запросов. Лучшим решением будет применить к вашему мониторингу DNS аналитику безопасности данных. Это позволит отличить нормальное поведение DNS от атак злоумышленников.
• Внезапное увеличение активности DNS из одного источника в отношении одного домена свидетельствует о потенциальной атаке «дней рождения».
• Увеличение активности DNS из одного источника, который запрашивает у вашего DNS-сервера многочисленные доменные имена без рекурсии, свидетельствует о попытке подобрать запись для последующего отравления.
Помимо мониторинга DNS необходимо также вести мониторинг событий Active Directory и поведения файловой системы, чтобы вовремя обнаружить аномальную активность. А еще лучше будет использовать аналитику для поиска взаимосвязи между всеми тремя векторами. Это позволит получить ценную контекстную информацию для усиления стратегии кибербезопасности.

Способы защиты от отравления кэша DNS

И, наконец, используйте зашифрованные DNS-запросы. Модули безопасности службы доменных имен (DNSSEC) — это протокол DNS, который использует подписанные DNS-запросы для предотвращения их подмены. При использовании DNSSEC, DNS-резолверу необходимо проверить подпись на уполномоченном DNS-сервере, что замедляет весь процесс. Вследствие этого DNSSEC пока не получил широкого распространения.

DNS поверх HTTPS (DoH) и DNS поверх TLS (DoT) являются конкурирующими спецификациями для следующей версии DNS и, в отличие от DNSSEC, предназначены для обеспечения безопасности DNS-запросов без ущерба скорости. Тем не менее эти решения не идеальны, поскольку могут замедлить или полностью сделать невозможным локальный мониторинг и анализ DNS. Важно отметить, что DoH и DoT могут обходить родительский контроль и другие блокировки на уровне DNS, установленные в сети. Несмотря на это, Cloudflare, Quad9 и Google имеют общедоступные DNS-серверы с поддержкой DoT. Многие новые клиенты поддерживают эти современные стандарты, хотя их поддержка и отключена по умолчанию. Вы можете найти более подробную информацию об этом в нашем посте по безопасности DNS.

Подмена DNS заменяет легитимный IP-адрес сайта на IP-адрес компьютера хакера. Обнаружить подмену очень непросто, ведь с точки зрения конечного пользователя он вводит в браузере абсолютно нормальный адрес сайта. Несмотря на это остановить подобную атаку можно. Риски снизить можно, используя мониторинг DNS, например, от Varonis, а также стандарт шифрования DNS поверх TLS (DoT).

Отравление кэша: часто задаваемые вопросы

Ознакомьтесь с распространенными вопросами о подмене DNS и ответами на них.

Отравление кэша DNS и подмена кэша DNS (спуфинг) — это одно и то же?

Да, отравлением кэша и подменой кэша называют один и тот же тип кибератаки.

Как работает отравление кэша DNS?

Отравление кэша обманывает ваш DNS-сервер, сохраняя на нём поддельную запись DNS. После этого трафик перенаправляется на сервер, выбранный хакером, и там осуществляется кража данных.

Какие меры безопасности можно применять для защиты от отравления кэша DNS?

Владельцы сайта могут осуществлять мониторинг и аналитику для выявления подмены DNS. Кроме того, можно обновить DNS-серверы, чтобы использовать модули безопасности службы доменных имен (DNSSEC) или другую систему шифрования, например DNS поверх HTTPS или DNS поверх TLS. Повсеместное использование полного сквозного шифрования, такого как HTTPS, также может предотвратить подмену DNS. Брокеры безопасного облачного доступа (CASB) чрезвычайно полезны для этих целей. Конечные пользователи могут сбросить потенциально подделанный кэш DNS, периодически очищая кэш DNS своего браузера, или после подключения к небезопасной или общедоступной сети. Использование VPN может защитить от подмены DNS в локальной сети. Избегайте подозрительных ссылок. Это поможет избежать риска заражения кэша вашего браузера.

Как проверить, подверглись ли вы атаке с отравлением кэша?

После того как кэш DNS был отравлен, это сложно обнаружить. Куда лучшая тактика — осуществлять мониторинг ваших данных и защищать систему от вредоносных программ, чтобы уберечься от утечек данных в следствие отравления кэша DNS. Посетите нашу интерактивную лабораторию кибератак, чтобы увидеть, как мы используем мониторинг DNS для обнаружения реальных угроз кибербезопасности.

Как работает связь DNS?

Как злоумышленники отравляют кэш DNS?

Способов отравления кэша много, и вот самые распространенные из них: принудить жертву нажать на вредоносную ссылку, использующую встроенный код для изменения кэша DNS в браузере пользователя; взлом локального DNS-сервера с помощью «атаки через посредника». Вышеупомянутая «атака через посредника» использует подмену протокола разрешения адресов (ARP) для перенаправления DNS-запросов на DNS-сервер, контролируемый злоумышленником.

Что такое отравление кэша DNS?

Отравление кэша DNS — это действия по замене записи в базе данных DNS на IP-адрес, ведущий на вредоносный сервер, контролируемый злоумышленником.

Как выполняется подмена DNS?

Хакер выполняет атаку с подменой DNS, получая доступ и изменяя кэш DNS или перенаправляя запросы DNS на свой собственный DNS-сервер.

Источник