WikiSort.ru - Не сортированное

ПОИСК ПО САЙТУ | о проекте

DNS rebinding (досл. с англ. — перепривязывание DNS) — форма компьютерной атаки на веб-сервисы. В данной атаке вредоносная веб-страница заставляет браузер посетителя запустить скрипт, обращающийся к другим сайтам и сервисам. Теоретически политики одинакового источника препятствуют подобным запускам: сценарии на стороне клиента могут получать доступ только к данным с сайта, с которого был получен скрипт. При реализации политики производится сравнение доменных имен, а атака перепривязки обходит эту защиту злоупотребляя возможностями системы доменных имен интернета (DNS).

Атака может быть использована для проникновения в локальные сети, заставляя веб-браузер жертвы обращаться к устройствам по частным IP-адресам и возвращать результаты обращений атакующему. Также атака может использоваться для того, чтобы поражаемый браузер выполнял отправку спама на веб-сайты, и для DDOS-атак и других вредоносных деяний.

Схема работы

Злоумышленник регистрирует домен (например, attacker.com) и устанавливает контроль над DNS-сервером, обслуживающим домен. DNS-сервер настроен так, чтобы его ответы содержали очень короткое время жизни (TTL) записей, предотвращая кэширование ответа. Когда жертва начинает переход на вредоносный домен, DNS-сервер атакующего сначала возвращает настоящий IP-адрес веб-сервера, который предоставит вредоносный код клиенту. Например, жертвы может перейти на сайт, который содержит вредоносный код JavaScript или объект Flash.

Вредоносный код на стороне клиента совершает дополнительные обращения к исходному имени домена (attacker.com). Политика одинакового источника разрешает такие запросы. Однако, при исполнении скрипта в браузере жертвы из-за устаревания предыдущего DNS-ответа производится новый запрос DNS для данного домена и запрос поступает к dns-серверу атакующего (из-за запрета кеширования). Злоумышленник отвечает, что теперь attacker.com как будто находится на некоем новом IP-адресе, например, на внутреннем IP-адреса или IP-адресе какого-то иного веб-сайта. Запрос скрипта попадает к другому серверу. Для возврата собранной скриптом информации атакующий может предоставить свой IP-адрес в одном из последующих DNS-запросов.

Противодействие и защита

Разработан ряд методов противодействия атакам перепривязки DNS:

Веб-браузеры могут реализовывать привязку ДНС (DNS pinning): используемый для работы с сайтом IP-адрес фиксируется на то значение, которое было получено в первом ответе DNS. Этот метод может препятствовать некоторым правомерным использованиям динамических DNS, и предотвращает все типы атаки. Однако, важным действием является остановка использования старого IP-адреса сайта при его легитимной смене (с учетом поля TTL «срок действия» DNS).
IP-адреса, относящиеся к локальным сетям могут быть отфильтрованы из ответов DNS.
- Некоторые общедоступные DNS-серверы поставляют данную услугу наряду с другими функциями, например, корпорация OpenDNS.^[1]
- Системные администраторы могут настроить внутренние рекурсивные DNS-серверы для блокирования разрешения внешних имен во внутренние для локальной сети IP-адреса. Недостатком подобной блокировки может стать утечка информации о списке заблокированных локальных подсетей к злоумышленнику..
- DNS фильтрация, встроенная в брандмауэр, маршрутизатор или локальный демон разрешения имен, например dnswall.^[2]
Веб-серверы и веб-сервисы должны отказывать в обслуживании http запросам, указывающим неверное имя сайта в заголовке Host.
Расширение браузера Firefox NoScript обеспечивает частичную защиту (для стандартных диапазонов частных сетей), используя функцию его ABE. Она блокирует интернет-трафик с внешних адресов на локальные адреса.

См. также

Примечания

↑ Ulevitch, David Finally, a real solution to DNS rebinding attacks (неопр.). Cisco (14 апреля 2008). Проверено 15 июля 2017.
↑ Проект DNS rebinding на сайте GitHub

Ссылки

Protecting Browsers from DNS Rebinding Attacks (Защита браузеров от атаки DNS перепривязки) (2007)
DNS hardening update — обновление для Adobe Flash Player (2008)
Security Sun Alert 200041 для Sun JVM (2008-09-04)
DNS Rebinding with Robert RSnake Hansen (видео, 2009)
Атака «DNS Rebinding» Positive Technologies Май, 2011 г
Вторая жизнь DNS Rebinding. Свежий подход к реализации атак Anti DNS pinning, 2011
Реализация атаки DNS Rebinding, ПДМ. Приложение. 2015. № 8.

Данная страница на сайте WikiSort.ru содержит текст со страницы сайта "Википедия".

Если Вы хотите её отредактировать, то можете сделать это на странице редактирования в Википедии.

Если сделанные Вами правки не будут кем-нибудь удалены, то через несколько дней они появятся на сайте WikiSort.ru .

Текст в блоке "Читать" взят с сайта "Википедия" и доступен по лицензии Creative Commons Attribution-ShareAlike; в отдельных случаях могут действовать дополнительные условия.

Другой контент может иметь иную лицензию. Перед использованием материалов сайта WikiSort.ru внимательно изучите правила лицензирования конкретных элементов наполнения сайта.

2019-2025
WikiSort.ru - проект по пересортировке и дополнению контента Википедии

[1] Ulevitch, David Finally, a real solution to DNS rebinding attacks (неопр.). Cisco (14 апреля 2008). Проверено 15 июля 2017.

[2] Проект DNS rebinding на сайте GitHub