Что такое перехват DNS-запросов?
Атака с помощью перехвата DNS-запросов (Domain Name System – система доменных имен) представляет собой серьезную угрозу и может привести к очень плачевным последствиям. В результате такой атаки злоумышленники подменяют настройки DNS и перенаправляют пользователей на вредоносные сайты. Подобная атака может затронуть самых разных пользователей. Чтобы понять, как происходит перехват DNS-запросов, давайте разберемся, что такое система доменных имен и как она работает.
Если коротко, DNS используется во всем мире для отслеживания, регистрации веб-сайтов и управления ими. DNS преобразует доменное имя (например, kaspersky.ru) в соответствующий IP-адрес, по которому веб-браузер загружает нужные пользователю ресурсы (например, веб-страницу). Если вы хотите узнать больше о работе DNS, ознакомьтесь с нашей статьей о спуфинге и отравлении кэша DNS.
Теперь, когда вы имеете представление о том, для чего нужна система доменных имен и как она работает, давайте подробнее рассмотрим, что такое перехват DNS-запросов.
- Что такое перехват DNS-запросов?
- Как происходит перехват DNS-запросов?
- Как обнаружить перехват DNS-запросов?
- Как предотвратить перехват DNS-запросов?
- Что следует знать о перехвате DNS-запросов?
При необходимости скачать что-то из интернета браузеру или любому другому программному обеспечению необходимо получить соответствующий ресурсу IP адрес. Для этого с устройства пользователя отправляется запрос к DNS серверу, который в запросе получает интересуемое доменное имя и в ответ возвращает нужный IP. Атака заключается в замене ответов настоящего DNS-сервера на вредоносные IP-адреса.
Если с помощью DNS-спуфинга (например, отравления кеша DNS, когда система записывает поддельный IP-адрес в кеш локальной памяти) хакеры изменяют закэшированные DNS-записи, то в результате перехвата DNS-запросов они изменяют сами настройки DNS. Часто это делается при помощи вредоносного ПО, установленного на компьютер жертвы. В результате хакеры могут получить контроль над роутером жертвы, перехватывать DNS-запросы или полностью нарушить обмен данными с DNS-сервером.
Это серьезная проблема как для индивидуальных пользователей, так и для бизнеса в целом. Для индивидуальных пользователей опасность в том, что веб-страницы, файлы и другие данные, скачиваемые из интернета, могут быть подменены злоумышленником. В том числе, может быть подложено вредоносное ПО. Кроме того, злоумышленники могут подменить легитимный веб-сайт фишинговым с целью похитить пользовательские данные – пароли, логины и реквизиты платежных карт. Для бизнеса опасность в том, что киберпреступники перенаправляют поток посетителей с легитимного веб-сайта компании на созданную ими фальшивую веб-страницу. Как только посетители попадают на веб-страницу злоумышленников, их логины, пароли и другие личные данные также могут быть похищены. В том числе это могут быть данные сотрудников, относящиеся к внутренней деятельности компании или даже конфиденциальная финансовая информация. В результате такой атаки преступники могут получить доступ к рабочей переписке сотрудников. В любом случае атака с помощью перехвата DNS-запросов может нанести чувствительный удар по безопасности данных и конфиденциальности.
Любопытно, что многие известные интернет-провайдеры и правительственные организации тоже могут перехватывать DNS-запросы своих пользователей. Интернет-провайдеры делают это для сбора статистики и для демонстрации пользователям рекламы. Например, если пользователь пытается зайти на несуществующий сайт, провайдер вместо сообщения об ошибке, может перенаправить его на свою веб-страницу с рекламой. Правительственные организации могут использовать перехват DNS-запросов для цензуры и для безопасного перенаправления пользователей на рекомендуемые правительством домены или веб-страницы.
Как происходит перехват DNS-запросов?
Когда вы вводите адрес в поисковую строку, ваш веб-браузер ищет информацию о веб-странице в кеше локальной памяти (если вы ранее уже посещали эту страницу) или отправляет DNS-запрос на сервер системы доменных имен (обычно предоставленный доверенным интернет-провайдером). Процесс обмена данными между браузером и сервером системы доменных имен особенно уязвим для атаки, поскольку данные передаются в незашифрованном виде. Именно в этот момент злоумышленники перехватывают запрос и подменяют ответ. Киберпреступники используют четыре различных способа перехватить DNS-запрос: локально, на уровне роутера, на уровне DNS-сервера и по типу man-in-the-middle («человек посередине»).
Локальный перехват. Хакер запускает на устройство жертвы троянца, который атакует локальные DNS-настройки. В результате хакер может изменить локальные настройки так, что они будут вести не на сервер, назначенный по умолчанию, а напрямую на DNS-сервер, принадлежащий злоумышленникам. Оттуда все запросы веб-браузера жертвы будут направляться на серверы злоумышленников, и те получат возможность посылать нужные им ответы. Кроме того, жертву могут направлять и на любые другие вредоносные серверы.
Перехват на уровне роутера. Роутер может оказаться первой целью для атаки киберпреступников. Это происходит из-за того, что многие владельцы роутеров не заботятся о персонализации учетных данных и оставляют заводские пароли, или из-за уязвимостей в прошивке роутера, которые хакеры могут легко обнаружить. Войдя в систему, хакеры изменяют настройки DNS, указывают предпочтительный DNS-сервер (обычно свой собственный) и получают полный контроль над преобразованием веб-адреса в IP-адрес. Далее DNS-сервер начинает перенаправлять запросы браузера пользователя на вредоносные сайты. Это особенно опасно, поскольку затрагивает не одного пользователя, а всех подключенных к зараженному роутеру.
Взлом DNS-сервера. В этом случае злоумышленники взламывают сервер системы доменных имен провайдера и вносят изменения в отдельные записи. В результате ничего не подозревающим пользователям кажется, что они обращаются к правильному DNS-серверу, в то время как он в действительности уже заражен хакерами. Злоумышленники изменяют DNS-записи так, чтобы перенаправлять DNS-запросы пользователей на вредоносные веб-сайты. Благодаря тому, что интернет-провайдеры используют все более высокие стандарты кибербезопасности, подобные атаки встречаются все реже и реализовать их бывает все сложнее. Но если такая атака все же случается, она затрагивает огромное количество пользователей, поскольку каждый, кто отправляет запросы на атакованный сервер, становится жертвой.
Атака по типу man-in-the-middle («человек посередине»). Такие атаки нацелены на перехват коммуникаций, которыми обмениваются веб-браузер и DNS-сервер. При помощи специальных инструментов хакеры нарушают обмен данными между клиентом и сервером, поскольку DNS-запросы, как правило, передаются в незашифрованном виде. После этого пользователям вместо запрашиваемых IP-адресов отправляют IP-адреса вредоносных веб-сайтов. Иногда злоумышленникам удается одновременно отравить кеш DNS на устройстве пользователя и на самом DNS-сервере. Результат бывает аналогичен вышеописанному.
Как обнаружить перехват DNS-запросов?
К счастью, существует несколько простых способов проверить, не перехватывают ли ваши DNS-запросы. Если сайты, которые вы регулярно посещаете, начали открываться медленнее или вы видите больше всплывающей рекламы (главный признак заражения вредоносным ПО) – вполне возможно, что ваши DNS-запросы перехватывают. Но если нет других признаков, это нельзя утверждать с уверенностью. Есть несколько способов это проверить с помощью вашего компьютера.
Сделайте тест с помощью команды ping.
Команда ping используется для того, чтобы проверить, существует ли IP-адрес на самом деле. Если вы пингуете несуществующий IP-адрес домен и получаете результат – высока вероятность того, что ваш DNS-запрос перехвачен. Этот тест можно проводить
на устройствах как с операционной системой Mac, так и Windows. Порядок действий для устройств Mac.
Откройте Терминал и введите следующую команду:
ping kaspersky123456.com
Если вы получаете ответ «Не удалось обнаружить» – DNS в порядке.
Порядок действий для устройств Windows.
Откройте командную строку и введите следующую команду:
ping kaspersky123456.com
Если вы получаете ответ «Не удалось обнаружить» – DNS в порядке.
Проверьте настройки DNS в роутере.
Следующий тест можно пройти онлайн на многих веб-сайтах. Сервисы проверки роутера проверят вашу систему с помощью надежного DNS-резолвера и сообщат, если вы используете неавторизованный DNS-сервер. В качестве альтернативы можно зайти в админ-панель роутера и проверить DNS-настройки там.
Воспользуйтесь сервисом whoismydns.com.
С помощью этого онлайн-сервиса можно узнать, к каким DNS-серверам обращается ваш браузер и кому они принадлежат. Как правило браузер использует IP-адреса DNS-серверов, предоставленных вашим интернет-провайдером. Если название компании-владельца вам незнакомо – возможно, DNS взломана.
Если вы узнали, что ваши DNS-серверы взломаны (или это случалось ранее), мы рекомендуем использовать альтернативную общедоступную службу DNS, например, общедоступные DNS-серверы компании Google.
Как предотвратить перехват DNS-запросов?
Независимо от того, идет ли речь о локальном перехвате запросов, перехвате на уровне роутера или взломе DNS-сервера, всегда лучше попытаться предупредить проблему. К счастью, существует ряд мер, которые вы можете предпринять, чтобы укрепить безопасность DNS и защиту ваших данных в целом.
Никогда не переходите по незнакомым и сомнительным ссылкам. В том числе полученным в электронных письмах, текстовых сообщениях или в социальных сетях. Помните: инструменты для сокращения URL-адресов могут маскировать и конечный адрес ссылки, поэтому старайтесь таких ссылок избегать. Не ленитесь вводить URL-адрес в адресную строку вручную. Но сначала убедитесь, что этот адрес легитимный.
Используйте только надежное антивирусное ПО. Лучше всего регулярно проверять компьютер на наличие вредоносных программ и обновлять ПО при появлении соответствующей подсказки. Защитное ПО поможет обнаружить и удалить любое заражение, возникшее в результате отравления кеша DNS, в том числе заражение троянцем во время локального перехвата. Вредоносные веб-сайты могут загружать на компьютер разнообразное вредоносное и рекламное ПО, поэтому следует постоянно проверять компьютер на наличие вирусов, шпионского ПО и на другие скрытые проблемы.
Используйте виртуальную частную сеть (VPN). Она создает зашифрованный цифровой туннель для передачи всего веб-трафика, включая DNS-запросы. Большинство известных VPN используют частные DNS-серверы, которые передают только защищенные сквозным шифрованием запросы, что позволяет защитить как ваше локальное устройство, так и сам сервер. В результате процесс обмена данными с сервером нельзя нарушить, что радикально снижает возможность перехвата DNS-запросов по типу «человек посередине».
Поменяйте логин и пароль на вашем роутере. Кажется, что это вполне очевидно, но многие пользователи игнорируют эту меру предосторожности. Как мы уже говорили, взломать логин и пароль, установленные на роутере по умолчанию, очень легко, а пользователи меняют их довольно редко. Мы всегда рекомендуем создавать надежные пароли, которые содержат 10-12 знаков и состоят из букв верхнего и нижнего регистра, цифр и специальных символов.
Будьте бдительны. Если незнакомый сайт начинает показывать вам различные всплывающие окна, лендинговые страницы и вкладки, которые вам ранее не встречались, следует немедленно его покинуть. Важно вовремя заметить такие предупреждающие сигналы – это ключ к вашей кибербезопасности.
Если же вы являетесь владельцем веб-сайта, вам следует предпринять другие меры, которые помогут вам защититься от взлома DNS.
Ограничьте доступ к DNS. Если доступ к вашим DNS-настройкам будет только у нескольких проверенных IT-сотрудников, это ограничит возможность потенциальных киберпреступников добраться до DNS через членов вашей команды. Кроме того, убедитесь, что эти избранные сотрудники используют двухфакторную аутентификацию при обращении к регистратору DNS.
Установите блокировку. Некоторые регистраторы DNS позволяют клиентам устанавливать блокировку на доменное имя, что предотвращает несанкционированное внесение изменений в DNS-запись. Мы рекомендуем пользоваться этой возможностью, если она доступна.
Пользуйтесь услугами регистратора, который поддерживает протокол DNSSEC. Протокол расширения безопасности системы доменных имен (DNSSEC) – это своего рода «знак качества», который позволяет подтверждать подлинность данных в процессе DNS-поиска. В таком случае хакерам будет сложнее перехватывать ваши DNS-запросы.
Сделайте себя неуязвимыми для перехвата DNS-запросов и других атак вредоносного ПО. Kaspersky Security Solutions обеспечит безопасность и конфиденциальность ваших действий в сети на любом устройстве. Узнайте об этом больше.
Что следует знать о перехвате DNS-запросов?
Что такое перехват DNS-запросов?
Перехват DNS-запросов – атака, при которой на запрос браузера DNS-сервер выдает неверный ответ, в результате чего жертва атаки направляется на вредоносный веб-сайт. Перехват может осуществляться с помощью вредоносного ПО на локальном устройстве, через роутер, по типу «человек посередине» или путем взлома сервера системы доменных имен.
Как происходит перехват DNS-запросов?
Перехват DNS-запросов происходит во время обмена данными между браузером, отправляющим запрос, и сервером системы доменных имен, поскольку этот обмен часто не защищен шифрованием. После перехвата запроса хакер может направить пользователя на один из своих вредоносных сайтов.
Как остановить перехват DNS-запросов?
Есть несколько способов предотвратить и остановить перехват DNS-запросов. Индивидуальные пользователи не должны переходить по сомнительным ссылкам и посещать сайты с большим количеством всплывающих окон. Им следует также использовать качественное антивирусное ПО, поменять логин и пароль на своем роутере и использовать VPN при работе в сети интернет.
Связанные продукты:
Kaspersky Security для малого бизнеса
Kaspersky Security для среднего бизнеса
Статьи по теме:
Mac против PC: советы по компьютерной безопасности
Что такое перехват DNS-запросов?
Kaspersky
