Новые атаки против DNS - Перенастройка распознавателя
ОГЛАВЛЕНИЕ
Перенастройка распознавателя
Недавно организация Measurement Factory провела исследование инфраструктуры DNS сети Internet (dns.measurement-factory.com/surveys/200710.html) и обнаружила примерно 16 млн открытых рекурсоров. Открытый рекурсор — IP-адрес, который принимает рекурсивные запросы из любого источника. Это само по себе плохо: хакеры могут использовать открытые рекурсоры как вспомогательное средство для распределенных атак с отказом в обслуживании против целей в Internet. Открытые рекурсивные серверы имен также более уязвимы для атак с подделкой записей кэша. Однако при глубоком исследовании природы открытых рекурсоров обнаруживается более коварная угроза.
Группа исследователей (с участием Дэвида Дэгона из института Georgia Tech) направляла запросы в открытые рекурсоры и изучала ответы. Большинство ответов были корректными, но некоторые неверными — очевидно, из-за программных ошибок и неверных настроек. Но ответы некоторых открытых рекурсоров (числом примерно 68 000) были одновременно неверными и потенциально опасными. Эти открытые рекурсоры всегда возвращали одни и те же адреса в ответ на любой запрос. Многие из этих адресов принадлежат открытым proxy-серверам в таких опасных с точки зрения Internet странах, как Россия и Китай, или сетям, зарекомендовавшим себя как источник спама.
Конечно, никто сознательно не настроит распознаватель компьютера на один из этих открытых рекурсоров. Тем не менее в выборках DNS-трафика, собранных группой Дэгона в Georgia Tech, было обнаружено много компьютеров, использующих эти открытые рекурсоры в качестве основных источников преобразования имен. Вероятно, их распознаватели были настроены на использование этих открытых рекурсоров разрушительными программами, загруженными из Internet (многие виды вредоносных программ делают именно это). После того как конфигурация компьютеров была изменена, ответы открытых рекурсоров направляют весь Web-трафик через эти удаленные proxy-серверы, в которых данные (например, пароли или информация кредитных карт) могут быть перехвачены и использованы злоумышленниками.
Защита от перенастройки распознавателя
Помимо обычных мер против загрузки вредоносных программ, в частности разъяснения пользователям необходимости проявлять осторожность при загрузке файлов из Internet, существуют способы помешать использованию в этой схеме зараженных компьютеров. Правила брандмауэров должны запрещать произвольным внутренним компьютерам запрашивать серверы имен в Internet. Если вредная программа меняет конфигурацию распознавателя компьютера, тот просто перестает работать. Пользователь компьютера, скорее всего, сообщит об этой неполадке в ИТ-специалистам, которые могут установить причину неисправности, удалить вредную программу и восстановить первоначальную конфигурацию распознавателя.
В таблице показан набор правил брандмауэра, которые позволяют определить набор внутренних серверов имен, имеющих право обращаться к серверам имен в Internet (и получать ответы), но блокируют запросы, исходящие непосредственно из внутренних распознавателей к серверам имен в Internet.
Если возможно, брандмауэр должен также применять фильтрацию пакетов UDP в контексте протокола и состояния соединения, чтобы принимать датаграммы UDP только из таких IP-адресов серверов имен в Internet, к которым недавно обращался внутренний сервер имен.
Не забывайте о клиенте
Большинство ИТ-администраторов обращает основное внимание на защиту серверов имен, но атаки могут быть направлены против клиентов. Поэтому будьте бдительны. Успешные атаки против распознавателей могут принести такой же ущерб, как нападения на серверы имен. Полезные рекомендации и инструментарий по DNS можно найти в электронной библиотеке ресурсов по адресу www.infoblox.com/library/dns_resources.cfm.
Крикет Лиу — вице-президент по архитектуре в Infoblox. Соавтор книги об устройстве DNS, издательство O’Reilly