Внедрение в сеть Internet ложного
сервера путем создания направленного
"шторма" ложных DNS-ответов на атакуемый
хост. В этом случае хакер осуществляет
постоянную передачу на атакуемый хост
заранее подготовленного ложного
DNS-ответа от имени настоящего DNSсервера без
приема DNS-запроса. Другими словами,
атакующий создает в сети Internet направленный
"шторм" ложных DNS-ответов.
Это возможно, так как обычно для передачи
DNS-запроса используется протокол UDP, в котором
отсутствуют средства идентификации пакетов.
Единственными критериями, предъявляемыми
сетевой ОС хоста
к полученному от DNS-сервера ответу, является,
во-первых, совпадение IP-адреса отправителя
ответа с IP-адресом DNS-сервера,
во-вторых, чтобы в DNS-ответе было
указано то же имя, что и в DNS-запросе,
в-третьих, DNS-ответ должен быть направлен на тот
же UDPпорт, с которого был послан
DNS-запрос (в данном случае это первая проблема для
атакующего), и, в-четвертых, в DNS-ответе поле
идентификатор запроса в заголовке DNS (ID) должно
содержать то же значение, что и в переданном
DNS-запросе (а это вторая проблема). Предпологаем,
что атакующий не имеет возможности перехватить
DNS-запрос, то основную проблему для
него представляет номер UDP-порта, с
которого был послан запрос. Но номер порта
отправи-
теля принимает ограниченный набор значений,
поэтому атакующему достаточно
действовать простым перебором, направляя ложные
ответы на соответствующий перечень портов. На
первый взгляд второй проблемой может быть
двухбайтовый идентификатор DNS-запроса, но
в данном случае он либо равен единице, либо
имеет значение близкое к нулю (один запрос
- ID увеличивается на 1). Поэтому для
осуществления данной удаленной атаки атакующему
необходимо выбрать интересующий его хост
(А), маршрут к которому требуется изменить так,
чтобы он проходил через ложный сервер - хост
атакующего. Это
достигается постоянной передачей (направленным
"штормом") атакующим ложных DNS-ответов на
атакуемый хост от имени настоящего
DNS-сервера на соответствующие UDP-порты. В этих
ложных DNSответах указывается в качестве IP-адреса
хоста А IP-адрес атакующего. Далее атака
развивается по следующей схеме. Как только цель
атаки (атакуемый хост) обратиться по имени к
хосту А, то от данного
хоста в сеть будет передан DNS-запрос, который
атакующий никогда не получит, но этого ему и не
требуется, так как на хост сразу же поступит
постоянно передаваемый ложный DNS-ответ, который и
будет воспринят ОС атакуемого хоста как
настоящий ответ от DNS-сервера. Атака состоялась и
теперь атакуемый хост будет передавать все
пакеты, предназначенные для А, на IP-адрес
хоста атакующего, который, в свою очередь, будет
переправлять их на А, имея возможность
воздействовать (менять, модифицировать,
анализировать и др) на
перехваченную информацию. Таким образом,
реализация данной удаленной атаки,
использующей пробелы в безопасности
службы DNS, позволяет из любой
точки сети Internet нарушить маршрутизацию между
двумя заданными объектами. То есть данная
удаленная атака осуществляется
межсегментно по отношению к цели атаки и
угрожает безопасности любого хоста Internet,
использующего обычную службу DNS.
АИСС БКБ, www.orioncom.ru, tel (495) 783-5510