Зная то, как злоумышленники могут атаковать нас, давайте разберемся в том, как работает перехват DNS и что можно сделать, чтобы защитить себя.
Перехват DNS – это один из видов DNS-атаки. Провести такую атаку можно тремя способами:
-
Установив вредоносное ПО на ПК жертвы;
-
Захватив контроль над маршрутизаторами;
-
Взломав DNS-соединение.
Затем злоумышленники изменяют IP-адрес ресурса, соответствующий определенному доменному имени, и перенаправляют жертву вместо запрошенного ею сайта на свой, где пользователю предлагается ввести свои учетные или банковские данные.
Как работает перехват DNS?
При регистрации домена у регистратора доменов, вы выбираете одно из доступных доменных имен, к которому будет привязан IP-адрес вашего сайта. Предположим, вы выбрали доменное имя BusinessSite.com.
И если злоумышленники смогут получить доступ к DNS-записи, в которой хранится уникальный IP вашего сайта и заменят его на другой, то при вводе доменного имени пользователи будут перенаправлены на сайт хакеров, а не на ваш сайт.
А как распознать перехват DNS?
У перехвата DNS есть несколько “симптомов”:
-
Медленная загрузка страниц;
-
Всплывающая реклама даже там, где ее быть не должно;
-
Всплывающие окна, убеждающие пользователя в том, что его ПК заражен вредоносным ПО.
Также распознать DNS можно с помощью пары несложных действий:
-
Пропингуйте сомнительный домен. Если результаты покажут, что IP-адреса не существует, то все в порядке – ваш DNS не был перехвачен.
-
Проверьте настройки вашего маршрутизатора через страницу администратора. Если настройки DNS изменены, то можно начинать бить тревогу.
-
Воспользуйтесь инструментом WhoIsMyDNS, который покажет сервер, отвечающий на DNS-запросы к вашему сайту. Если отображаемый DNS вам незнаком, то стоит задуматься – вы могли стать жертвой хакеров.
Четыре всадника перехвата DNS – разбираемся в типах этой атаки
Врага нужно знать в лицо, поэтому мы кратко расскажем о четырех формах перехвата DNS:
-
Локальный перехват DNS. В этом случае злоумышленник устанавливает троян на компьютер пользователя, а затем изменяет настройки локального DNS, перенаправляя жертву на вредоносные веб-сайты.
-
Перехват DNS с помощью маршрутизатора. Пользуясь уязвимостями в прошивке или паролями по умолчанию, злоумышленник может взломать маршрутизатор и изменить его настройки DNS.
-
Атака типа "человек посередине" (MITM). Злоумышленник может использовать методы этой атаки для перехвата запросов между пользователями и DNS-сервером, чтобы перенаправить жертв на вредоносные сайты.
-
Изменение записей DNS на DNS-сервере. Это позволяет злоумышленнику перенаправить DNS-запросы на вредоносные-веб сайты, которые пользователь может даже не отличить от легитимных.
Чем перехват DNS отличается от DNS-спуфинга и отравления кэша DNS?
В отличие от перехвата, при спуфинге не происходит намеренного отключения сайта жертвы от сети для осуществления атаки. Вместо этого хакер изменяет информацию в DNS, чтобы пользователь попал на вредоносный сайт.
А при отравлении кэша DNS злоумышленник использует уязвимость в конфигурации DNS. Если сервер не проверяет ответы DNS на корректность, чтобы убедиться в их авторитетном источнике (например, при помощи DNSSEC), он будет кэшировать некорректные ответы локально и использовать их для ответов на запросы других пользователей, пославших такие же запросы.
Как защититься от перехвата DNS?
-
Регулярно проверяйте настройки DNS вашего маршрутизатора на странице администратора. Злоумышленники часто пользуются уязвимостями в прошивке и паролями по умолчанию, чтобы нажиться на ничего не подозревающих жертвах.
-
Маршрутизаторы подвержены атакам, и угонщики используют эту слабость, чтобы нажиться на ничего не подозревающих жертвах. Кроме того, не забывайте регулярно менять пароль!
-
Используйте статус Registry-Lock. Он защищает домены от нежелательных изменений, переносов и удаления, тем самым сильно усложняя работу хакерам.
-
Не забывайте про антивирусы! Часто злоумышленники пытаются установить вредоносное ПО, чтобы проникнуть в вашу систему и украсть данные, необходимые для перехвата DNS. Надежное антивирусное решение на корню пресекает подобные попытки.
-
Соблюдайте гигиену паролей! Используйте сложные пароли и не забывайте часто обновлять их, чтобы хакерам было намного труднее подобрать их.