Атака с повторной привязкой DNS использует тот факт, что обычно, когда злоумышленник использует уязвимость (например, межсайтовый скриптинг — XSS) для компрометации домена, сервер имен домена также захватывается. Это может изменить имя хоста, для которого выполняется разрешение. Другими словами, с помощью DNS Rebinding Attack доступ к специально созданному веб-сайту можно получить, отправив запросы на серверы имен скомпрометированных доменов, а не запрашивая адреса реальных веб-сайтов. Кроме того, весь трафик, отправленный на эти разные IP-адреса, теперь будет ретранслироваться обратно на наш веб-сервер, даже если это не вредоносный URL -адрес, такой как *.youtubefilter.com или что-либо еще, обычно используемое во время фишинга и других типов онлайн-атак.
Механизм атаки DNS Rebinding
Атаки с повторной привязкой DNS — это векторы, при которых злоумышленник не имеет контроля над сервером имен, и все запросы на разрешение имени хоста (или IP-адреса, который по-прежнему является допустимым именем хоста) перенаправляются на альтернативный сервер имен, который контролируется и управляется злоумышленником. Например, если у нас есть веб-сайт www.example.com, и мы хотим получить доступ к частному внутреннему почтовому серверу домена или другим службам, которые доступны только через этот конкретный частный IP-адрес, то для подделки может быть использована атака повторной привязки DNS. один из этих адресов.
Сетевое пентестирование через DNS Rebinding Attack
360 NOC наблюдал несколько случаев, когда злоумышленник перехватывал DNS и отправлял запросы на получение IP-адресов, принадлежащих законным доменам. В некоторых случаях конечных пользователей обманом заставляют создать фишинговый веб-сайт с использованием одного из этих веб-сайтов (например, частного почтового сервера). Поскольку весь трафик, отправленный на захваченный URL-адрес, теперь отправляется обратно на исходный сервер, он полностью запутывается и в результате вынуждает пользователя устанавливать фишинговую страницу.
Проблемы с утечкой данных:
Атака DNS Rebinding Attack позволяет злоумышленнику получить доступ к конфиденциальной информации, такой как учетные данные или конфиденциальные электронные письма.
Пример перепривязки DNS
В этом примере Алиса настроила свой компьютер для использования Интернет-провайдера (ISP) Джона и Джейн, а не Google. Когда вы вводите «google.com» в любом окне браузера, он отправляет запрос через компьютер Алисы на интернет-провайдера Джона и Джейн. Когда запрос отправляется, он перенаправляется на DNS-сервер интернет-провайдера, который, в свою очередь, отправляет запрос в Google. Хакер настроил свой компьютер на использование DNS-сервера и связанного с ним IP-адреса интернет-провайдера Джона и Джейн для веб-сайта, когда вы вводите адрес в любой форме, например «google.com». Перепривязка DNS — это довольно простая атака, которая в основном запускается в окне браузера, как и любая другая форма просмотра веб-страниц. В основном это действует как прокси-атака, которая перенаправляет трафик из одного предполагаемого места назначения в другое. Процесс выглядит следующим образом:
- Злоумышленник называет что-то, что он хочет, чтобы вы щелкнули в адресной строке ( поиск DNS).
- Они вводят IP-адрес, к которому легко могут получить доступ ( DNS-сервер интернет-провайдера) .
- Они нажимают ввод, и пункт назначения появляется на странице вашего браузера.
- Вы думаете, что идете в Google — вы набираете в адресной строке, например, «www.google.com» или «facebook.com».
- Как только вы нажмете Enter, ваши DNS-серверы изменились и перенаправили запрос интернет-провайдеру Джона и Джейн (IP-адрес). Ваш браузер думает, что он идет к Google, но на самом деле он идет к интернет-провайдеру Джона и Джейн — это называется «перепривязкой DNS» с небольшой помощью злоумышленника.
- Вы теперь в основном на интернет-провайдере Джона и Джейн.
- Затем ваш браузер перенаправляется на www.google.com или www.facebook.com и т. д., при этом вы не знаете, что злоумышленник изменил IP-адрес.
- Вы не знаете, что на самом деле находитесь у интернет-провайдера Джона и Джейн — похоже, что вы все еще находитесь в Google/Facebook и т. д., потому что ваш DNS-сервер был изменен злоумышленником.
- Когда вы входите в Facebook или Google, ваше имя пользователя и пароль, отправленные через HTTP-запрос, регистрируются злоумышленником. Злоумышленник теперь сохраняет ваш пароль.
- Теперь хакеры могут завладеть вашей информацией и делать с ней все, что захотят, в том числе продавать ее или использовать в других преступных целях, таких как кража личных данных.
- Если вам посчастливилось получать оповещения от программы безопасности (мне нравится программа Касперского), вы можете пережить атаку, если примете меры предосторожности против атак с повторной привязкой DNS (например, настроите свой DNS на IP-адрес Google).
- Когда хакеры отправляют запрос на конкретную информацию, Ваш компьютер может перенаправить запрос на другой компьютер.
- Это совершенно другой IP-адрес и доменное имя, но он использует тот же IP-адрес и доменное имя, что и раньше (от вашего интернет-провайдера). Это называется атаками повторной привязки DNS.
Заключение
Атака с повторной привязкой DNS использует тот факт, что обычно, когда злоумышленник использует уязвимость (например, межсайтовый скриптинг XSS ) для компрометации домена, сервер имен домена также захватывается. Это может изменить имя хоста, для которого выполняется разрешение. Другими словами, с помощью DNS Rebinding Attack доступ к специально созданному веб-сайту можно получить, отправив запросы на серверы имен скомпрометированных доменов, а не запрашивая адреса реальных веб-сайтов. Кроме того, весь трафик, отправленный на эти разные IP-адреса, теперь будет ретранслироваться обратно на наш веб-сервер, даже если это не вредоносный URL-адрес, такой как *.youtubefilter.
