П О Р Т А Л                            
С Е Т Е В Ы Х                          
П Р О Е К Т О В                        
  
Поиск по сайту:
                                                 
Главная

О проекте

Web-мастеру
     HTML & JavaScript
     SSI
     Perl
     PHP
     XML & XSLT
     Unix Shell

MySQL

Безопасность

Хостинг

Другое








Самое читаемое:

Учебник PHP - "Для Чайника".
Просмотров 179438 раз(а).

Иллюстрированный самоучитель по созданию сайтов.
Просмотров 77351 раз(а).

Учебник HTML.
Просмотров 75070 раз(а).

Руководство по PHP5.
Просмотров 46094 раз(а).

Хостинг через призму DNS.
Просмотров 53324 раз(а).

Подборка текстов стандартных документов.
Просмотров 46091 раз(а).

Учебник PHP - Самоучитель
Просмотров 52255 раз(а).

Документация на MySQL (учебник & справочное руководство)
Просмотров 52802 раз(а).

Внешние атаки...
Просмотров 42731 раз(а).

Учебник PHP.
Просмотров 38230 раз(а).

SSI в примерах.
Просмотров 28357 раз(а).






 
 
| Добавить в избранное | Сделать стартовой Project.Net.Ru | Помощь





Сетевые атаки

Подмена DNS (DNS Spoofing)

Система DNS (Domain Name System) преобразует доменное имя (например, www.test.com) в его IP-адрес (например, 192.168.0.1) и наоборот. Данная атака использует технологию отправки фальшивых ответов на DNS-запросы жертвы. Атака основывается на двух основных методах.

Подмена DNS ID (DNS ID Spoofing)

Заголовок пакета DNS-протокола содержит идентификационное поле для соответствия запросов и ответов. Целью подмены DNS ID является посылка своего ответа на DNS-запрос до того, как ответит настоящий DNS-сервер. Для выполнения этого, нужно спрогнозировать идентификатор запроса. Локально это реализуется простым прослушиванием сетевого трафика. Однако, удаленно выполнить эту задачу гораздо сложнее. Существуют различные методы:

  • проверка всех доступных значений идентификационного поля. Не очень практично, поскольку общее количество возможных значений составляет 65535 (размер поля 16 бит);

  • посылка нескольких сотен DNS-запросов в правильном порядке. Очевидно, что этот метод не очень надежен;

  • нахождение сервера, генерирующего прогнозируемые идентификаторы (например, увеличивающиеся на 1). Этот тип уязвимости присущ некоторым версиям Bind и системам Windows 9x.

В любом случае, необходимо ответить до настоящего DNS-сервера. Этого можно достичь, например, выполнив против сервера атаку типа "отказ в обслуживании".

Для проведения успешной атаки, злоумышленник должен контролировать DNS-сервер (ns.attaquant.com), авторитетный для зоны attaquant.com. Целевой DNS-сервер (ns.cible.com) предположительно генерирует прогнозируемые идентификационные номера (увеличивающиеся на 1 при каждом запросе).

Атака требует выполнения четырех шагов:

  1. атакующий шлет DNS-запрос от имени www.attaquant.com к DNS-серверу домена cible.com, как показано на рисунке 11;


    Рис.11: DNS-запрос посланный к ns.cible.com
    dnsspoof1

  2. целевой DNS-сервер перенаправляет запрос к серверу домена attaquant.com;

  3. злоумышленник прослушивает запросы на предмет получения идентификаторов (в нашем примере ID равен 100);

  4. злоумышленник фальсифицирует IP-адрес соответствующий имени. В примере машина-жертва это www.spoofed.com, адрес которой должен быть 192.168.0.1. Злоумышленник посылает DNS-запрос на разрешение имени www.spoofed.com серверу ns.cible.com. И сразу же шлет группу фальсифицированных DNS-ответов (передавая в качестве IP-адреса, один из адресов злоумышленника -- 10.0.0.1) на свой же запрос с подмененным IP-адресом источника на адрес одного из DNS-серверов домена spoofed.com. В каждом ответе ID увеличивается на 1 по сравнению с идентификатором, полученным во время второго этапа атаки (ID = 100) для увеличения вероятности нахождения правильного номера ID. Сервер ns.cible.com мог ответить на запросы других клиентов и, соответственно, увеличить свой DNS ID. На рисунке 12 показано, как выполняются два последних этапа атаки.

    Рис.12: Подмена DNS ID
    dnsspoof2

В результате, кэш целевого DNS-сервера будет содержать соответствие, необходимое злоумышленнику и следующим клиентам запрашивающим адрес www.spoofed.com будет сообщен адрес машины злоумышленника. На ней может быть размещена копия настоящего сайта, с помощью которого злоумышленник может красть конфиденциальную информацию.

 

Изменение DNS Cache Poisoning

DNS-сервера используют кеш для хранения результатов предыдущих запросов в течении некоторого времени. Это делается чтобы избежать постоянных повторов запросов к авторизированным серверам соответствующих доменов. Второй вариант атаки, направленной на подмену DNS, заключается в изменении кэша DNS сервера. Вот пример:

Используем те же данные, что и в предыдущем примере. Вот ключевые моменты этого варианта атаки:

  • послать DNS-запрос на разрешение имени www.attaquant.com DNS-серверу домена cible.com;

  • целевой DNS-сервер шлет запрос на разрешение имени www.attaquant.com DNS-серверу злоумышленника;

  • DNS-сервер злоумышленника шлет ответ, с фальсифицированными записями, что позволяет задавать имени соответствие с IP-адресом злоумышленника. Например, сайт www.cible.com может иметь фальсифицированную DNS-запись, соответствующую IP-адресу сайта www.attaquant.com.

[ Назад ] [ Содержание ] [ Вперед ]



Если Вы не нашли что искали, то рекомендую воспользоваться поиском по сайту:
 





Copyright © 2005-2016 Project.Net.Ru