Внедрение в сеть Internet ложного
сервера путем создания направленного
"шторма" ложных DNS - ответов на атакуемый DNS
- сервер. Из схемы удаленного DNS-поиска
следует, что в том случае, если указанное в
запросе имя DNS-сервер не обнаружил в своей базе
имен, то запрос отсылается сервером на один из
корневых DNS-серверов, адреса которых
содержатся в файле настроек сервера
root.cache. То есть, в том случае, если DNS-сервер не
имеет сведений о запрашиваемом хосте, то он
пересылает запрос далее, а значит,
теперь сам DNS-сервер является
инициатором удаленног DNS-поиска. Поэтому
ничто не мешает атакующему, действуя методами Dummy
DNS for host, направить свою атаку на DNS-сервер. То
есть, в качестве цели атаки теперь будет
выступать не хост, а DNS-сервер и
ложные DNS-ответы будут направляться
атакующим от имени
корневого DNSсервера на атакуемый DNS-сервер. При
этом важно учитывать следующую
особенность работы DNS-сервера. Для ускорения
работы каждый DNS-сервер кэширует в области
памяти свою таблицу
соответствия имен и IP-адресов хостов. В том числе
в кэш заносится динамически изменяемая
информация об именах и IP-адресах хостов,
найденных в процессе функционирования DNSсервера.
То есть, если DNS-сервер, получив запрос,
не находит у себя в кэштаблице
соответствующей записи, он пересылает
ответ на следующий сервер и, получив ответ,
заносит найденные сведения в кэш-таблицу в
память. Таким образом, при получении следующего
запроса DNS-серверу уже не требуется вести
удаленный поиск, так как необходимые сведения
уже находятся у него в кэш-таблице. Из
анализа описанной схемы удаленного DNS-поиска
становится очевидно, что в том случае,
если в ответ на запрос от DNS-сервера
атакующий направит ложный DNS-ответ (или в случае
"шторма" ложных ответов будет вести их
постоянную передачу), то в кэш-таблице сервера
появится соответствующая запись с ложными
сведениями и, в дальнейшем, все
хосты, обратившиеся к данному DNS-серверу, будут
дезинформированы и при обращении к хосту,
маршрут к которому атакующий решил изменить,
связь с ним будет осуществляться через хост
атакующего. И с течением времени эта ложная
информация, попавшая в кэш DNS-сервера, будет
распространяться на соседние DNS-серверы
высших уровней, а, следовательно, все больше
хостов в Internet будут дезинформированы и
атакованы.Очевидно, что в том случае, если
атакующий не может перехватить DNS-запрос от
DNS-сервера, то для реализации атаки ему необходим
"шторм" ложных DNS-ответов, направленный
на DNS-сервер. При этом возникает следующая
основная проблема, отличная от проблемы
подбора портов в случае атаки, направленной
на хост. Как уже отмечалось ранее DNS-сервер,
посылая запрос на другой DNS-сервер,
идентифицирует этот запрос двухбайтовым
значением (ID). Это значение увеличивается на
единицу с каждым передаваемым
запросом. Узнать атакующему это
текущее значение идентификатора DNS-запроса не
представляется возможным. Поэтому, ничего
кроме перебора 216 возможных
значений ID предложить
что-либо достаточно сложно. Зато исчезает
проблема перебора портов, так как все
DNS-запросы передаются DNS-сервером на 53 порт.
Следующая проблема, являющаяся условием
осуществления этой удаленной атаки
на DNS-сервер при направленном
"шторме" ложных DNSответов состоит в том,
что атака будет иметь успех, только в том
случае, если DNS-сервер пошлет запрос на поиск
определенного имени (которое содержится в ложном
DNS-ответе). DNS-сервер посылает этот
столь необходимый и желанный для атакующего
запрос в том случае, если на него прийдет
DNS-запрос от какого-либо хоста на поиск
данного имени и этого имени ни окажется в
кэш-таблице DNS-сервера. В принципе этот запрос
может прийти когда угодно и атакующему
может быть придется ждать
результатов атаки сколь угодно долго. Однако
ни что не мешает атакующему, не дожидаясь
никого, самому послать на атакуемый DNS-сервер
подобный DNS-зап-
рос и спровоцировать DNS-сервер на поиск
указанного в запросе имени. Тогда
эта атака с большой вероятностью будет иметь
успех практически сразу же после начала ее
осуществления.
АИСС БКБ, www.orioncom.ru, tel (495) 783-5510