A
Атака Каминского — повреждение целостности данных в системе DNS. Компрометация данных происходит в процессе заполнения кэша DNS-сервера данными, не исходящими от авторитетного DNS-источника. Подобная компрометация данных может быть результатом хакерской атаки на сервер имён или неожиданным результатом ошибки в конфигурировании DNS-кэша. Название идет от имени эксперта по безопасности Дэна Камински, в 2008 подробно описавшего использование бреши в системе DNS.
Когда DNS-сервер получает такие неаутентичные данные и кэширует их для оптимизации быстродействия, он становится отравленным и начинает предоставлять неаутентичные данные своим клиентам.
DNS-сервер транслирует доменное имя (такое, как example.com) в IP-адрес, используемый хостами для соединения с ресурсами Интернета. Если DNS-сервер отравлен, он может возвращать некорректный IP-адрес, направляя таким образом трафик на другой компьютер.
Вот пример лога атаки:
Здесь траффик с IP жертвы 93.115.84.76 перенаправляется на другой IP 94.172.15.116.53.
Многие атаки на кэш могут быть предотвращены на стороне DNS-серверов с помощью уменьшения степени доверия к информации, приходящей от других DNS-серверов, или даже игнорирования любых DNS-записей, прямо не относящихся к запросам. Например, последние версии BIND (версии 9, 10) выполняют такие проверки. Существенно снизить вероятность успешной атаки на кэш может использование случайных UDP-портов для выполнения DNS-запросов.
Когда DNS-сервер получает такие неаутентичные данные и кэширует их для оптимизации быстродействия, он становится отравленным и начинает предоставлять неаутентичные данные своим клиентам.
DNS-сервер транслирует доменное имя (такое, как example.com) в IP-адрес, используемый хостами для соединения с ресурсами Интернета. Если DNS-сервер отравлен, он может возвращать некорректный IP-адрес, направляя таким образом трафик на другой компьютер.
Вот пример лога атаки:
Код:
21:37:39.630796 IP 93.115.84.76.25391 > 94.172.15.116.53: 24978+ [1au] ANY?
grappyblog.com. (43)
21:37:39.831800 IP 93.115.84.76.49696 > 94.172.15.116.53: 24978+ [1au] ANY?
grappyblog.com. (43)
21:37:39.831958 IP 93.115.84.76.59616 > 94.172.15.116.53: 5607+ [1au] ANY?
grappyblog.com. (43)
21:37:40.235186 IP 93.115.84.76.46388 > 94.172.15.116.53: 5607+ [1au] ANY?
grappyblog.com. (43)
21:37:40.236018 IP 93.115.84.76.23193 > 94.172.15.116.53: 24978+ [1au] ANY?
grappyblog.com. (43)
21:37:40.437359 IP 93.115.84.76.32875 > 94.172.15.116.53: 5607+ [1au] ANY?
grappyblog.com. (43)
21:37:40.437598 IP 93.115.84.76.24896 > 94.172.15.116.53: 24978+ [1au] ANY?
grappyblog.com. (43)
21:37:40.640039 IP 93.115.84.76.35449 > 94.172.15.116.53: 5607+ [1au] ANY?
grappyblog.com. (43)Многие атаки на кэш могут быть предотвращены на стороне DNS-серверов с помощью уменьшения степени доверия к информации, приходящей от других DNS-серверов, или даже игнорирования любых DNS-записей, прямо не относящихся к запросам. Например, последние версии BIND (версии 9, 10) выполняют такие проверки. Существенно снизить вероятность успешной атаки на кэш может использование случайных UDP-портов для выполнения DNS-запросов.