DNS-ni qayta ulash - DNS rebinding

DNS-ni qayta ulash formasi sifatida keng qo'llaniladigan domen nomlari rezolyutsiyasini boshqarish usuli hisoblanadi kompyuter hujumi. Ushbu hujumda zararli veb sahifa mehmonlarni ishga tushirishga sabab bo'ladi mijoz tomonidagi skript tarmoqdagi boshqa joylarda mashinalarga hujum qiladi. Nazariy jihatdan bir kelib chiqishi siyosati bunga yo'l qo'ymaydi: mijoz tomonidagi skriptlarga faqat skriptga xizmat ko'rsatgan o'sha xostdagi tarkibga kirish huquqi beriladi. Taqqoslash domen nomlari bu siyosatni amalga oshirishning muhim qismidir, shuning uchun DNS-ning qayta tiklanishi ushbu huquqni suiiste'mol qilish orqali chetlab o'tadi Domen nomlari tizimi (DNS).

Ushbu hujumni buzish uchun ishlatilishi mumkin xususiy tarmoq jabrlanuvchiga sabab bo'lishi bilan veb-brauzer shaxsiy kompyuterlarga kirish uchun IP-manzillar va natijalarni tajovuzkorga qaytaring. Shuningdek, uni jabrlangan mashinadan foydalanish uchun ishlatish mumkin spam-xabar, tarqatilgan xizmatni rad etish xurujlari yoki boshqa zararli harakatlar.

DNS-ni qayta tiklash qanday ishlaydi

Tajovuzkor domenni ro'yxatdan o'tkazadi (masalan, tajovuzkor.com) va uni a-ga topshiradi DNS-server bu tajovuzkorning nazorati ostida. Server juda qisqa javob beradigan qilib tuzilgan yashash vaqti (TTL) yozuvi, DNS javobining oldini olish keshlangan. Jabrlanuvchi zararli domenni ko'rib chiqqanda, tajovuzkorning DNS-server birinchi bo'lib javob beradi IP-manzil zararli mijoz tomonidagi kodni joylashtiradigan server. Masalan, ular jabrlanuvchining brauzerini zararli veb-saytga yo'naltirishlari mumkin JavaScript yoki Chiroq jabrlanuvchining kompyuterida bajarishga mo'ljallangan skriptlar.

Zararli mijoz tomonidagi kod asl domen nomiga qo'shimcha kirishni amalga oshiradi (masalan, attacker.com). Bunga bir xil kelib chiqishi siyosati bilan ruxsat beriladi. Ammo, qurbonning brauzeri skriptni ishga tushirganda, u domen uchun yangi DNS so'rovini yuboradi va tajovuzkor yangi IP-manzil bilan javob beradi. Masalan, ular Internetdagi boshqa joyda ichki IP-manzil yoki maqsadli IP-manzil bilan javob berishlari mumkin.

Himoya

Quyidagi metodlar DNS-ni qayta tiklash hujumlarini oldini olishga harakat qilmoqda:^[1]^[2]^[3]^[4]

Zanjirdagi DNS-serverlar filtrlashi mumkin shaxsiy IP-manzillar va loopback IP-manzillari:
- Tashqi ommaviy DNS-serverlar (masalan: OpenDNS ) DNS filtrlashni amalga oshirishi mumkin.^[5]
- Mahalliy tizim ma'murlari tashkilotning mahalliy parametrlarini sozlashi mumkin ism-sharif (lar) tashqi IP-manzillarni tashqi IP-manzilga kiritishni blokirovka qilish. (Bu tajovuzkorga foydalanilayotgan ichki manzillar oralig'ini xaritada ko'rsatishga imkon berishning salbiy tomoni bor.)
A xavfsizlik devori (masalan, dnswall), shlyuzda yoki mahalliy kompyuterda, u orqali o'tadigan DNS javoblarini filtrlashi va mahalliy manzillarni tashlashi mumkin.^[6]^[7]
Veb-brauzerlar DNS-ni qayta tiklashga qarshi turishlari mumkin:
- Veb-brauzerlar DNS-ni o'rnatishni amalga oshirishi mumkin:^[8] IP-manzil birinchi DNS javobida olingan qiymatga qulflangan. Ushbu uslub ba'zi bir qonuniy foydalanishni blokirovka qilishi mumkin Dinamik DNS va barcha hujumlarga qarshi ishlamasligi mumkin. Biroq, agar IP-manzil o'zgargan bo'lsa, xavfsiz ishlashni to'xtatish (ko'rsatishni to'xtatish) muhim, chunki TTL muddati tugaganidan keyin IP-manzildan foydalanish, agar IP-manzil qonuniy ravishda o'zgartirilganda va muddati o'tgan IP-manzil tomonidan boshqarilishi mumkin bo'lsa, qarama-qarshi zaiflikni ochishi mumkin. tajovuzkor.
- The NoScript uchun kengaytma Firefox o'z ichiga oladi ABE, brauzer ichidagi xavfsizlik devoriga o'xshash xususiyat, bu standart konfiguratsiyasida tashqi veb-sahifalarning mahalliy IP-manzillariga kirishini oldini olish orqali mahalliy tarmoqqa hujumlarni oldini oladi.
Veb-serverlar rad etishi mumkin HTTP noma'lum bo'lgan so'rovlar Xostning sarlavhasi.

Shuningdek qarang

Adabiyotlar

^ "Brauzerlarni DNS-ning qayta hujumidan himoya qilish" (PDF). kripto.stanford.edu. 2007 yil noyabr. Olingan 2018-12-10.
^ "Brauzerlarni DNS-ning qayta hujumidan himoya qilish" (PDF). www.adambarth.com. 2009 yil yanvar. Olingan 2018-12-10.
^ "DNS REBDING" (PDF). www.ptsecurity.com. 2012. Olingan 2018-12-10.
^ "Routeringizni mumkin bo'lgan DNS hujumlaridan qaytarish - TrendLabs Security Intelligence Blog". blog.trendmicro.com. 2010-08-04. Olingan 2018-12-10.
^ Ulevich, David (2008-04-14). "Va nihoyat, DNS-ni qayta tiklash hujumlarining haqiqiy echimi". Cisco. Olingan 2017-07-15.
^ google-dnswall kuni GitHub
^ "Xizmatlar - DNS - DNS-ni qayta bog'laydigan himoya | pfSense hujjatlari". www.netgate.com. Olingan 2018-12-10.
^ "FireDrill: interaktiv DNS-ni qayta ulash" (PDF). www.usenix.org. Olingan 2018-12-10.

Tashqi havolalar

Brauzerlarni DNS rebinding hujumlaridan himoya qilish (2007)
DNS-ni qattiqlashtiradigan yangilanish uchun Adobe Flash Player (2008)
Xavfsizlik Sun Alert 200041 uchun Quyosh JVM (2008-09-04)
Robert RSnake Hansen bilan DNS-ni qayta bog'lash (2009)

[1] "Brauzerlarni DNS-ning qayta hujumidan himoya qilish" (PDF). kripto.stanford.edu. 2007 yil noyabr. Olingan 2018-12-10.

[2] "Brauzerlarni DNS-ning qayta hujumidan himoya qilish" (PDF). www.adambarth.com. 2009 yil yanvar. Olingan 2018-12-10.

[3] "DNS REBDING" (PDF). www.ptsecurity.com. 2012. Olingan 2018-12-10.

[4] "Routeringizni mumkin bo'lgan DNS hujumlaridan qaytarish - TrendLabs Security Intelligence Blog". blog.trendmicro.com. 2010-08-04. Olingan 2018-12-10.

[5] Ulevich, David (2008-04-14). "Va nihoyat, DNS-ni qayta tiklash hujumlarining haqiqiy echimi". Cisco. Olingan 2017-07-15.

[6] -dnswall kuni GitHub

[7] "Xizmatlar - DNS - DNS-ni qayta bog'laydigan himoya | pfSense hujjatlari". www.netgate.com. Olingan 2018-12-10.

[8] "FireDrill: interaktiv DNS-ni qayta ulash" (PDF). www.usenix.org. Olingan 2018-12-10.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]