Обучающие материалы

Обучающие материалы представляют собой базу знаний,
и включают различные материалы в области сетевой безопасности
и непрерывной доступности, от общеобразовательных
до специализированных.

FAQs

Собрали ответы на самые популярные вопросы о решениях CURATOR

DNS-спуфинг (DNS spoofing) — это более широкий термин, который описывает любые методы подмены DNS-ответов. DNS cache poisoning — это одна из разновидностей таких атак, направленных конкретно на кеш рекурсивного резолвера. В случае успешной атаки поддельная запись начинает использоваться всеми пользователями, которые обращаются к этому резолверу. Другие методы DNS-спуфинга, например атаки типа man-in-the-middle в локальной сети, обычно затрагивают только конкретное устройство, являющееся целью атаки. 

Зависит от того, какой именно резолвер был отравлен. Если речь идет о корпоративном резолвере, последствия могут затронуть несколько сотен сотрудников. В случае атаки на резолвер интернет-провайдера или публичный DNS-сервис количество пострадавших пользователей может исчисляться тысячами или даже миллионами. Поддельная DNS-запись остается в кеше в течение всего времени хранения (TTL), поэтому чем больше значение TTL и популярнее используемый резолвер, тем масштабнее могут быть последствия атаки.

С точки зрения пользователя поддельные DNS-записи ничем не отличаются от легитимных, поэтому их обнаружение в основном опирается на мониторинг DNS-трафика на уровне сети. Признаками возможной атаки могут быть резкие всплески числа запросов к определенному домену, ответы от неожиданных источников, несоответствие значений TTL или аномально большое количество ответов NXDOMAIN. Кроме того, регулярное сравнение записей, находящихся в кеше, с ответами авторитетных DNS-серверов позволяет своевременно выявлять поддельные записи.

Да. DNSSEC добавляет к DNS-ответам криптографические подписи, позволяя резолверам проверять, действительно ли ответ был получен от авторитетного DNS-сервера. Поддельные DNS-записи, не содержащие корректной подписи, автоматически отклоняются. Однако DNSSEC работает только в том случае, если технологию поддерживают обе стороны — и владелец домена, и сам резолвер. Кроме того, внедрение DNSSEC до сих пор остается неполным.

Вторичный DNS-сервис, работающий на распределенной Anycast-сети, позволяет устранить единую точку отказа. Если основной DNS-сервер подвергается DDoS-атаке, цель которой — вызвать задержки и тайм-ауты у резолверов (что может создавать условия для DNS cache poisoning), вторичный сервис продолжает отвечать на DNS-запросы. В сочетании с DNSSEC это позволяет резолверам получать не только доступные, но и криптографически проверенные DNS-ответы.

Для обнаружения таких инцидентов используются системы мониторинга BGP-маршрутизации. Они анализируют изменения в объявлениях маршрутов и выявляют аномалии, в том числе перехваты префиксов и утечки маршрутов. Постоянный мониторинг позволяет быстро обнаруживать инциденты и ограничивать их воздействие на инфраструктуру.

Оба типа инцидентов могут приводить к ухудшению работы сети и угрозам безопасности. Среди возможных последствий — рост сетевой задержки, потеря пакетов, перехват или анализ трафика, перенаправление пользователей на вредоносные сайты и отказ в обслуживании (DoS).

Основное отличие заключается в механизме возникновения инцидента. При BGP-перехвате автономная система объявляет IP-префикс, который ей не принадлежит. При утечке маршрутов легитимные маршруты распространяются дальше, чем это допускает политика маршрутизации. В первом случае система выдает себя за владельца префикса, во втором — неправомерно передает чужие маршруты.

Утечка маршрутов — это инцидент маршрутизации, при котором маршруты распространяются за пределы допустимой области. Обычно это происходит из-за ошибок конфигурации, когда автономная система передает одному провайдеру маршруты, полученные от другого провайдера. В результате трафик начинает идти через сеть, которая не должна быть транзитной для этих маршрутов.

Ваша подписка успешно активирована
На главную