Угрозы безопасности DNS

Типичные угрозы инфраструктуре DNS со стороны злоумышленников:

• Получение отпечатка (Footprinting) — это процесс получения злоумышленником данных зоны DNS, позволяющий ему узнать доменные имена DNS, имена и IP-адреса компьютеров с важными сетевыми ресурсами.

Как правило, злоумышленник начинает атаку с применения этих данных DNS для составления, или получения отпечатка, схемы сети. Имена доменов DNS и компьютеров обычно отражают функции или местоположение домена или компьютера, что должно облегчить пользователям запоминание и распознавание доменов и компьютеров. Злоумышленник пользуется этим принципом DNS для изучения функций и местоположения доменов и компьютеров в сети.

• Атака типа «отказ в обслуживании» состоит в том, что злоумышленник пытается нарушить работу сетевых служб, «завалив» один или несколько DNS-серверов сети рекурсивными запросами.

Поскольку DNS-сервер занят исключительно обработкой этих запросов, загрузка его центрального процессора в конечном счете достигает максимума, и служба «DNS-сервера» становится недоступной. Поскольку в сети нет работоспособного DNS-сервера, сетевые службы, использующие DNS, становятся недоступными для пользователей сети.

• Изменение данных — это попытка злоумышленника (получившего отпечаток сети с помощью DNS) использовать действительные IP-адреса в созданных им IP-пакетах, тем самым придавая этим пакетам такой вид, словно они посланы с действительных IP-адресов в сети.

Обычно такие действия называются подменой IP-адреса (IP spoofing). Имея действительный IP-адрес (IP-адрес, лежащий в пределах диапазона IP-адресов подсети), злоумышленник может получить доступ к сети и разрушить данные или провести атаки какого-либо другого типа.

• Перенаправление имеет место, когда злоумышленнику удалось перенаправить запросы имен DNS на серверы, находящиеся под его контролем. Один из способов перенаправления включает в себя попытку засорить кэш DNS-сервера ошибочными данными DNS, которые могут привести к перенаправлению запросов на серверы, находящиеся под контролем злоумышленника.

Например, если первоначально был сделан запрос на yaroslavl.mfua.ru, а в ссылочном ответе имеется запись для имени, находящегося вне домена mfua.ru, например mfi.ru, то DNS-сервер будет использовать кэшированные данные mfi.ru для разрешения запроса этого имени.

Перенаправление может быть осуществлено, если злоумышленник имеет доступ с разрешением записи к данным DNS, таким как динамические обновления, для которых не обеспечивается безопасность.