Протокол DNS. Методы сетевых атак и защиты

Протокол DNS. Методы сетевых атак и защиты

КУРСОВАЯ РАБОТА

Протокол DNS. Методы сетевых атак и защиты

Челябинск

г.

Содержание

Введение

.        Протокол DNS: описание, предназначение

.1      Файл Hosts

2.      Атаки на протокол DNS

.1      Методы атак на протокол DNS

.2      Усиление атаки на протокол DNS

.        Защита и противодействие атакам на протокол DNS

.1      Методы борьбы с атаками на DNS-сервер

Заключение

Список литературы

Введение

Технологии стремительно развиваются и с каждым днем все сложнее и сложнее обеспечить сохранность информации, находящейся в сети. Поэтому вопрос о безопасности и сохранности интернет-ресурсов стоит тем острее, чем быстрее разрастается «Всемирная паутина». Сама сеть, точнее работа в ней построена на протоколах. Одним из них является протокол доменных имен (DNS), который помогает взаимодействовать компьютеру и человеку, а именно: переводит символьное написание, которое привычно человеку в набор цифр, представляющий собой IP-адрес.

Так, с какой целью специалисту необходимы знания о методах атак на протокол DNS?

Специалисту необходимо чувствовать себя как «рыба в воде» на просторах интернета, а это возможно лишь узнавая что-то новое, даже если ты не собираешься применять это на практике (об атаках).

Специалист должен знать с чем имеет дело, чтобы успешно с этим бороться, а лучше и вовсе минимизировать вероятность появления вредоносных атак. Ведь если выйдут из строя DNS-серверы, то пользователи просто не смогут воспользоваться интернет-ресурсами. DNS подвержен атаке, соответственно некому больше переводить язык пользователя (буквенное обозначение домена) на машинный язык (IP-адрес) и обратно. Набрав нужный адрес, пользователь получит ошибку и решит, что интернет вовсе не работает.

. Протокол DNS: описание, предназначение

Компьютеры в сети общаются между собой, используя IP-адреса - числовые имена. Пользователь же привык видеть в своей адресной строке не сложно запоминаемый набор цифр, разделенных запятой, а вполне понятные символьные значения, которые зачастую отражают принадлежность к чему-либо. Например, адрес #"787515.files/image001.jpg">

1.1 Файл HOSTS

До появления DNS соответствие между символьными именами и IP-адресами можно было установить в специальном файле. Этот способ можно использовать и сейчас, внеся изменения в файл hosts:

WINDOWS: С:\Windows\system32\drivers\etc\hosts: /etc/hosts

Браузер в поисках IP первым делом проверяет нет ли в файле hosts IP введенного адреса. И лишь потом обращается к DNS в случае отрицательного результата. Если же IP запрашиваемого сайта найден в файле hosts, то можно радоваться, ведь загрузка нужной вам страницы начинается быстрее и сокращается ровно на время, которое раньше терялось на соединение с внешним DNS сервером и получение от него ответа с IP.

Файл hosts содержит строки, Каждая из которых определяет одно соответствие между именем и IP-адресом

127.0.0.1    localhost

81.176.66.163 lib.ru

Что удобно можно не только добавлять сайты для ускорения работы, но и блокировать нежелательные сайты, записав напротив такого сайта IP 127.0.0.1.

.0.0.1 vk.com

Либо указать IP другого сайта.

.176.66.163 vk.com

. Атаки на протокол DNS

Атаки на DNS можно условно разделить на две категории.

Первая категория - это атаки на уязвимости в DNS-серверах. С этим подвидом атак связаны следующие опасности:

Во-первых, в результате DNS-атак пользователь рискует не попасть на нужную страницу. При вводе адреса сайта атакованный DNS будет перенаправлять запрос на подставные страницы.

Во-вторых, в результате перехода пользователя на ложный IP-адрес злоумышленник может получить доступ к его личной информации. При этом пользователь даже не будет подозревать, что его информация рассекречена.

Основной причиной такой подверженности DNS-систем угрозам является то, что они работают по протоколу UDP <#"787515.files/image002.jpg">

Красным выделены строки, которых изначально нет, в файле hosts. Это результат атаки.

А вот так должен выглядеть «здоровый» файл hosts, если вы сами не вносили никаких изменений в его конфигурацию.

2.2 Усиление атаки на протокол DNS

Уровни усиления эффективности атаки:

1)      Естественный - DNS-пакеты, отправляемые в ответ на запрос, в несколько раз крупнее тех, что отправляются пользователем при запросе. С помощью этого простого в реализации способа даже самая простая атака может получить 3-4 кратное усиление.

)        Выборочный - ответы на DNS-запросы имеют различный размер: в ответ на некоторые DNS-запросы отправляется короткий ответ, в ответ на другие ответ гораздо больше. Опытный злоумышленник может сначала определить, какие доменные имена в ответе сервера имеют больший размер. Отправляя запросы только для таких доменных имен, злоумышленник может достигать 10-кратного усиления.

3)      Настроенный вручную. Если брать для рассмотрения серьезные DNS-атаки, которые имеют большой масштаб активности, то злоумышленник может даже разработать специальные доменные имена, для отправки имен которых требуется пакеты огромных размеров. Отправляя запросы только на такие специально созданные доменные имена, злоумышленник может достичь 100-кратного усиления.

3. Защита и противодействие атакам на протокол DNS

Любому действию найдется противодействие! Но ко всему нужно подходить с умом. Как уже было сказано, специалист должен не только знать о возможных опасностях, но и уметь прогнозировать и устранять последствия вторжения на вверенный ему ресурс.

В общем случае, ресурс находится в состоянии защищенности, если выполняются его доступность, целостность, конфиденциальность.

Доступность- гарантия того, что авторизованные пользователи получат доступ к нужной им информации.

Целостность - гарантия сохранности и достоверности данных, обеспечивается за счет того, что неавторизованные пользователи никак не могут изменять, модифицировать, подменять или создавать данные.

Конфиденциальность - гарантия того, что доступ к данным имеют только авторизованные пользователи, или легальные пользователи, т.е. допуск которым действительно разрешен.

Требования безопасности могут варьироваться в зависимости от типа хранимых данных, характера информационной системы и типа возможных угроз.

При планировании и разработке защиты необходимо учесть ряд особенностей атак, производимых именно на DNS-серверы:

- Ведется атака на критически важную инфраструктуру - DNS-сервер является важным элементом инфраструктуры. Это означает, что если нарушается работа DNS-сервиса организации, отключается весь ее интернет-трафик. На более высоком уровне, если вывести из строя корневые DNS-серверы - весь интернет перестанет функционировать.

Асимметричный характер атаки - асимметричное усиление позволяет атакам на DNS вызвать отказ в обслуживании, пользуясь ограниченными ресурсами и небольшим трафиком.

Сохранение анонимности - не использующий информацию о состоянии протокол DNS позволяет злоумышленникам изменить их IP-адрес источника и легко замаскироваться. Используя метод отражения, злоумышленник даже не посылает трафик непосредственно на объект атаки.

1. Шифровка данных, с чем поможет DNSSEC. DNSSEC - набор расширений IETF <http://ru.wikipedia.org/wiki/Internet_Engineering_Task_Force> протокола DNS <http://ru.wikipedia.org/wiki/DNS>, позволяющих минимизировать атаки, связанные с подменой DNS-адреса при разрешении доменных имён. Его цель - обеспечить аутентификацию и целостность информации, содержащейся в DNS, что как раз таки достигается посредством шифрования.

Немного о DNSSEC. Опирается на шифрование с открытыми ключами для подписи информации, содержащейся в DNS. Такие криптографические подписи обеспечивают целостность за счет вычисления криптографического хэша (т. е. уникальной контрольной суммы) данных и затем защиты вычисленной величины от несанкционированных изменений посредством ее шифрования. Хэш шифруется с помощью личного ключа из пары ключей, чтобы любой желающий мог воспользоваться открытым ключом для его дешифровки. Если расшифрованное получателем значение хэша совпадает с вычисленным, то данные достоверны (не подвергались несанкционированному изменению).

. Фильтрация IP-пакетов на пограничном маршрутизаторе или брандмауэре, адрес отправителя которых совпадает с внутренними IP-адресами сети.

. Уменьшения степени доверия к информации, приходящей от других DNS-серверов, или даже игнорирования любых DNS-записей, прямо не относящихся к запросам (такие проверки проводит BIND <http://ru.wikipedia.org/wiki/BIND> версии 9, 10).

. Использование случайных UDP-портов для выполнения DNS-запросов. Это поможет существенно снизить вероятность успешной атаки на кэш.

. Не применять или вовсе запретить использование тех приложений, где аутентификация проходит только по доменному имени машины или имени пользователя. Для сокращения степени риска на сервере должны выполняться только самые необходимые для его работы приложения. Затем вы можете ограничить доступ к этим сервисам и предусмотреть жесткую идентификацию для тех приложений, для которых она необходима.

. Все ПО, включая программное обеспечение DNS, должно быть представлено в самых последних редакциях, и к ним должны быть применены все доступные обновления. При оценке возможности размещения DNS на сервере вы должны помнить, что всякое выполняющееся на сервере сетевое приложение увеличивает риск взлома. С появлением автоматизированного инструментария сканирования при выходе в Internet серверы DNS подвергаются постоянному зондированию и попыткам вторжения. Здесь практически ничего нельзя поделать, так как серверы DNS должны отвечать на запросы.

. Использовать расщепленную модель DNS, которая ограничить открытость серверов для доступа извне. При такой модели один сервер DNS с минимальной информацией помещается с внешней стороны сети, в то время как второй сервер - с внутренней стороны. Доступ к этому серверу возможен только из внутренней сети, и он содержит всю информацию DNS по внутренней сети. Нужно понимать, что внутренние серверы могут подвергнуться атакам и изнутри сети, поэтому они должны быть защищены так же тщательно, как внешние серверы DNS.

Заключение

Важно понимать, что для стабильной работы любого сервиса необходима соответствующая его масштабам система защиты. В некоторых случаях администратор сети и владелец ресурса одно лицо, в другом случае на обеспечение безопасности отводятся целые отделы с штатом в несколько десятков человек.

В заключении можно сказать, что основной проблемой DNS-серверов является то, что они по определению должны обрабатывать запросы, а значит всегда находятся в зоне риска, так как неизвестно легитимен ли источник запроса или же это очередной злоумышленник пытается реализовать один из описанных в настоящей работе методов атак.

К тому же, ни один метод, никакие предосторожности, ни одна система безопасности не может гарантировать защиту на 100-процентном уровне. Определяя политику безопасности ресурса, администратор должен соотнести величину затрат на обеспечение безопасности данных с величиной ущерба, которую понесет организация в результате нарушения защиты данных. И уже из этого сделать вывод о необходимости применения тех или иных мер по обеспечению сохранности данных.

Список литературы

1.      Сети TCP/IP. Ресурсы Microsoft Windows 2000 Server. / М.: Русская редакция, 2001.

.        Компьютерные сети. Принципы, технологии, протоколы / В.Г. Олифер, Н.А. Олифер. - СПб: Питер, 2001.

3.      Компьютерные сети / Таненбаум Э. ;СПб. : Питер, 2003. - 4-е издание.