DNS Mürgitamine

Allikas: Teadmusbaas

Mis on DNS

DNS ehk Domeeninimede süsteem (Domain Name System) on internetiteenus, mis tõlgib domeeninimed või intranetis kasutatavateks IP-aadressideks. Toimides omalaadse “telefoniraamatuna”, on see süsteem tavatarbijatele internet kasutamiseks hädavajalik. Arvuti, mis on konfigureeritud täitma DNS teenust, nimetatakse nimeserveriks.

DNS Mürgitamine

On varjatud viis internetikasutaja saada võltsleheküljele, kus ta võib oma krediitkaardiandmed või kasutajatunnuse paljastada või ohtliku tarkvara alla laadida.

Kuidas see toimib?

  • Realiseeritakse ühe sisevõrgu subneti piires Man-In-The-Middle rünnakuna, üldjuhul kasutades selleks Linuxi tarkvara Ettercap või Windows tarkvara Cain. Selleks jälgitakse sisevõrguliiklust ning valitakse ohver või IP vahemik, kelle DNS päringutele vastab häkkeri vale DNS arvuti/server. Millelt saadetakse DNS päringutele vale veebi saidi päring, nt pöördudes google.com poole, suunatakse päringu tegija hoopis teise domeeni peale. Põhiliselt võib selleks ette tulla pangalingi feikimist, suunamist URL’le kus võib mingi trooja ohvri arvutisse ronida jne.
FakeDNS.jpg
  • Ründaja rikub programmiga Ettercap sisevõrgu DNS serveri vahemälu
  • Sisevõrgu kasutaja teeb DNS serverist päringu
  • DNS server edastab ründaja poolt etteantud vale lingi, nt kloonitud panga logimise leht
  • Kasutaja püüab siseneda valele pangalingile ja võib avalikustada oma panga andmeid ja/või jääda rahast ilma....

DNS mürgitamine avalikus võrgus

  • Kuna tänapäeval muutub populaarseks facebook.com ja google.com, siis avalikes võrkudes tehakse rünnak läbi Open Resolver DNS Closed Resolver DNS serveri. Mis on Open Resoolver DNS ? DNS server, edastab tehtavad päringud edasi ilma piiranguteta, siis saab sellisel kujul teha väga efektiivselt DOS(teenuse tõrkestamise) rünnakuid ja seda väga suuremastaapselt.
Kuidas toimib avaliku võrgu DNS Spoofing ? Näiteks oleks „DNS cache poisoning“ tehnoloogia, millega rikutakse avaliku DNS serveri (mis töötab Open Resolver põhimõttel) DNS cache(vahemälu) ja vahetatakse mingi üldiselt enam levinud veebilehe ehk said (või saitide) IP aadress(id) välja ründe objektiks oleva IP’ga. Oletame et enam levinud päritav IP oleks sait facebook.com siis cache poisoning korral saadetakse kõik facebook.com päringud ohvri saidile pahavaraga hõlmatud javaskriptiga postimees.ee. See annab võimaluse teha DDOS rünnakut, mis tähendab, et postimees.ee veebiserver pole võimeline vastu võtma nii suures ulatuses päringuid, siis tagajärjeks võib olla et postimees.ee veebileht kukkub kokku ning jääb kättesaamatuks. Kuidas siis häkkerid ei jää vahele või pole kergesti leitav? Kõberkurjategija leiab avaliku serveri, mis on nn puhtas nimekirjas ja kuhu pärast sisse häkkimist hakatakse tegelema Open Resolver tüüpi DNS serverite otsimisega ja nende vahemälu rikkumisega ning ette valmistades DDOS rünnakuks. DDOS Rynnak2.jpg

Materjalid