Как работают DNS-атаки?

Система доменных имен (Domain Name System, DNS) — это важнейший элемент интернет-инфраструктуры. Она преобразует понятные человеку доменные имена (например, example.com) в IP-адреса (например, 93.184.215.14), которые используют компьютеры для взаимодействия в сети. Без DNS пользователям пришлось бы запоминать сложные числовые IP-адреса для доступа к сайтам. Таким образом, DNS выполняет роль телефонной книги интернета и упрощает навигацию, позволяя использовать удобные доменные имена вместо длинных чисел.

Система доменных имен состоит из миллионов иерархически организованных DNS-серверов, каждый из которых выполняет свою роль в преобразовании доменных имен. Ежедневно они обрабатывают триллионы запросов. Поскольку эта система необходима для стабильной работы интернета, DNS часто становится мишенью или инструментом в различных кибератаках. В этом материале мы рассмотрим наиболее распространенные угрозы, связанные с DNS.

При осуществлении атаки с подменой DNS (DNS Hijacking) злоумышленники вмешиваются в процесс преобразования доменных имен, чтобы перенаправлять пользователей с легитимных сайтов на вредоносные. Основная идея такой атаки — подменить IP-адрес легитимного ресурса, к которому пытается подключиться пользователь, IP-адресом поддельного.

Существует несколько способов реализации подмены DNS. Один из них — локальная подмена, при которой злоумышленник изменяет настройки DNS на устройстве пользователя или маршрутизаторе. В результате DNS-запросы незаметно перенаправляются на DNS-сервер, контролируемый атакующим.

Другой подход — атака типа «человек посередине» (Man-in-the-Middle, MitM), когда злоумышленник перехватывает трафик между пользователем и легитимным DNS-сервером и подменяет ответы. Также атакующие могут напрямую компрометировать DNS-серверы, чтобы перенаправлять сразу множество пользователей на фальшивые страницы.

Последствия подмены DNS могут быть крайне серьезными: нарушение приватности, утечки данных или даже прямые финансовые потери. Защита от таких атак требует применения расширений безопасности DNSSEC, который позволяет проверять подлинность DNS-ответов. Также для борьбы с данной угрозой полезно блокировать изменение настроек DNS на устройствах и маршрутизаторах и регулярно проверять и обновлять конфигурации DNS.

Еще один способ перенаправления пользователей на вредоносные сайты с помощью манипуляций с системой доменных имен — это отравление кэша DNS (DNS Cache Poisoning). В этом случае злоумышленники внедряют поддельные записи в кэш рекурсивного резолвера (отсюда и название атаки). В результате DNS-резолвер начинает ассоциировать определенные домены с ложными IP-адресами, направляя пользователей на вредоносные сайты вместо легитимных.

Как и при подмене DNS, последствия отравления кэша могут быть крайне серьезными: фишинг, заражение вредоносным ПО, а также кража конфиденциальных данных, включая логины, пароли и финансовую информацию. Поскольку атака основана на подмене IP-адреса, а не имени домена, обнаружить подделку гораздо сложнее. Такое незаметное перенаправление на вредоносный сайт значительно увеличивает вероятность того, что пользователь станет жертвой атаки.

Для защиты от отравления кэша рекомендуется использовать DNSSEC, который проверяет подлинность DNS-ответов. Также снизить риск атак помогают корректная настройка серверов имен и постоянный мониторинг.

Помимо атак, напрямую нацеленных на инфраструктуру DNS, существуют также вредоносные техники, которые эксплуатируют особенности этой технологии в интересах злоумышленников. Одна из таких техник — DNS-туннелирование (DNS Tunneling), то есть использование протокола DNS для скрытой передачи произвольного трафика через DNS-запросы и ответы. Этот метод позволяет обходить межсетевые экраны и выводить конфиденциальные данные за пределы защищенной сети.

Злоумышленники настраивают подконтрольный им DNS-сервер и кодируют данные, которые нужно передать из сети жертвы, в тело DNS-запросов. В ответных сообщениях сервер также передает зашифрованные данные обратно, формируя скрытый канал связи. Поскольку DNS-трафик разрешен большинством межсетевых экранов, DNS-туннелирование особенно эффективно для скрытого вывода данных из изолированных сетей или организации несанкционированного удаленного доступа.

Для выявления и предотвращения DNS-туннелирования необходимо отслеживать подозрительный или аномально высокий объем DNS-запросов. Эффективную защиту обеспечивают строгие политики фильтрации, использование DNS-файрволов и анализ характерных паттернов запросов. Дополнительно можно использовать специализированные инструменты, отслеживающие нетипичное поведение DNS-клиентов.

Еще один способ эксплуатации инфраструктуры DNS злоумышленниками — проведение распределенных атак отказа в обслуживании (DDoS) с использованием механизма DNS-амплификации (усиления). При DDoS-атаке такого типа злоумышленники отправляют небольшие DNS-запросы на множество уязвимых DNS-серверов. При этом они подделывают IP-адрес отправителя таким образом, чтобы ответы направлялись не к ним, а к жертве. DNS-серверы, не подозревая подмены, отправляют объемные ответы, перегружая целевой ресурс трафиком и вызывая отказ в обслуживании.

Данная атака, которую также называют отражением через DNS, использует разницу в размере между небольшими DNS-запросами и значительно более объемными ответами. Это позволяет злоумышленникам направлять на цель большой объем трафика без необходимости иметь значительную пропускную способность на своей стороне. Открытые рекурсивные резолверы при этом выступают в роли «зеркал», усиливая атаку с коэффициентом амплификации до 100:1. Это значит, что один небольшой запрос может привести к отправке жертве стократно более объемного.

Оптимальный способ защитить цифровую инфраструктуру от атак с DNS-амплификацией, а также других DDoS-атак — использование облачного решения, такого как CURATOR.ANTIDDOS. Благодаря глобальной сети из 18 центров очистки трафика, облачная система DDoS-защиты обеспечивает отказоустойчивость, высокую пропускную способность и надежную фильтрацию даже в случае масштабных атак.

DNS-серверы могут быть не только инструментом в проведении DDoS-атак, но и их непосредственной целью. Один из таких примеров — атака NXDOMAIN, при которой злоумышленники отправляют огромное количество запросов к несуществующим или некорректным записям.

Такие атаки перегружают DNS-сервер потоком фиктивных обращений, не позволяя ему обрабатывать легитимные запросы и нарушая тем самым работу онлайн-сервисов. Атакуя DNS-серверы, злоумышленники могут сделать сайты и сервисы недоступными, даже если сами веб-серверы при этом продолжают функционировать. Именно это произошло в 2016 году, когда в результате масштабной DDoS-атаки на провайдера DNS-услуг Dyn в течение нескольких часов были недоступны десятки популярнейших онлайн-сервисов, включая Airbnb, Twitter и Spotify.

CURATOR.SECONDARYDNS позволяет защитить DNS-инфраструктуру от подобных атак за счет использования глобальной сети Anycast. В случае DDoS-атаки или сбоя, трафик автоматически перераспределяется на ближайшие доступные узлы, поддерживая отказоустойчивость и минимальные задержки.

Отказоустойчивый вторичный DNS-сервер CURATOR.SECONDARYDNS с поддержкой набора расширений DNSSEC помогает обеспечить необходимый уровень безопасности и сохранить доступность критически важных сервисов даже в случае сложных и интенсивных сетевых атак.