Система DNS (Domain Name System) преобразует доменное имя (например, www.test.com) в его IP-адрес (например, 192.168.0.1) и наоборот. Данная атака использует технологию отправки фальшивых ответов на DNS-запросы жертвы. Атака основывается на двух основных методах.
Подмена DNS ID (DNS ID Spoofing)
Заголовок пакета DNS-протокола содержит идентификационное поле для соответствия запросов и ответов. Целью подмены DNS ID является посылка своего ответа на DNS-запрос до того, как ответит настоящий DNS-сервер. Для выполнения этого, нужно спрогнозировать идентификатор запроса. Локально это реализуется простым прослушиванием сетевого трафика. Однако, удаленно выполнить эту задачу гораздо сложнее. Существуют различные методы:
проверка всех доступных значений идентификационного поля. Не очень практично, поскольку общее количество возможных значений составляет 65535 (размер поля 16 бит);
посылка нескольких сотен DNS-запросов в правильном порядке. Очевидно, что этот метод не очень надежен;
нахождение сервера, генерирующего прогнозируемые идентификаторы (например, увеличивающиеся на 1). Этот тип уязвимости присущ некоторым версиям Bind и системам Windows 9x.
В любом случае, необходимо ответить до настоящего DNS-сервера. Этого можно достичь, например, выполнив против сервера атаку типа "отказ в обслуживании".
Для проведения успешной атаки, злоумышленник должен контролировать DNS-сервер (ns.attaquant.com), авторитетный для зоны attaquant.com. Целевой DNS-сервер (ns.cible.com) предположительно генерирует прогнозируемые идентификационные номера (увеличивающиеся на 1 при каждом запросе).
Атака требует выполнения четырех шагов:
атакующий шлет DNS-запрос от имени www.attaquant.com к DNS-серверу домена cible.com, как показано на рисунке 11;
Рис.11: DNS-запрос посланный к ns.cible.com
целевой DNS-сервер перенаправляет запрос к серверу домена attaquant.com;
злоумышленник прослушивает запросы на предмет получения идентификаторов (в нашем примере ID равен 100);
злоумышленник фальсифицирует IP-адрес соответствующий имени. В примере машина-жертва это www.spoofed.com, адрес которой должен быть 192.168.0.1. Злоумышленник посылает DNS-запрос на разрешение имени www.spoofed.com серверу ns.cible.com. И сразу же шлет группу фальсифицированных DNS-ответов (передавая в качестве IP-адреса, один из адресов злоумышленника -- 10.0.0.1) на свой же запрос с подмененным IP-адресом источника на адрес одного из DNS-серверов домена spoofed.com. В каждом ответе ID увеличивается на 1 по сравнению с идентификатором, полученным во время второго этапа атаки (ID = 100) для увеличения вероятности нахождения правильного номера ID. Сервер ns.cible.com мог ответить на запросы других клиентов и, соответственно, увеличить свой DNS ID. На рисунке 12 показано, как выполняются два последних этапа атаки.
Рис.12: Подмена DNS ID
В результате, кэш целевого DNS-сервера будет содержать соответствие, необходимое злоумышленнику и следующим клиентам запрашивающим адрес www.spoofed.com будет сообщен адрес машины злоумышленника. На ней может быть размещена копия настоящего сайта, с помощью которого злоумышленник может красть конфиденциальную информацию.
Изменение DNS Cache Poisoning
DNS-сервера используют кеш для хранения результатов предыдущих запросов в течении некоторого времени. Это делается чтобы избежать постоянных повторов запросов к авторизированным серверам соответствующих доменов. Второй вариант атаки, направленной на подмену DNS, заключается в изменении кэша DNS сервера. Вот пример:
Используем те же данные, что и в предыдущем примере. Вот ключевые моменты этого варианта атаки:
послать DNS-запрос на разрешение имени www.attaquant.com DNS-серверу домена cible.com;
целевой DNS-сервер шлет запрос на разрешение имени www.attaquant.com DNS-серверу злоумышленника;
DNS-сервер злоумышленника шлет ответ, с фальсифицированными записями, что позволяет задавать имени соответствие с IP-адресом злоумышленника. Например, сайт www.cible.com может иметь фальсифицированную DNS-запись, соответствующую IP-адресу сайта www.attaquant.com.
