2.4 Útoky na jmenné služby (DNS)
Služba DNS (Domain Name System) překládá srozumitelná doménová jména na IP adresy. Útoky na DNS umožňují útočníkovi přesměrovat uživatele na falešné nebo škodlivé servery, i když uživatel zadá správnou adresu (např. do prohlížeče).
DNS Spoofing a DNS Cache Poisoning
DNS Caching: Aby se minimalizoval a zrychlil DNS provoz po síti, lokální servery i samotná zařízení výsledky dotazů dočasně ukládají do vyrovnávací paměti (cache).
Otrávená vyrovnávací paměť (Poisoned cache): Vyrovnávací paměť obsahující nesprávný (útočníkem podvržený) záznam. Tím dochází k přesměrování síťové komunikace klienta z legitimního serveru na server ovládaný útočníkem (např. falešnou webovou stránku či phishingový portál).
Jak se toho dosáhne?
Útočník musí přesvědčit klienta nebo DNS server k přijetí falešné odpovědi ještě před tím, než dorazí legitimní odpověď od autoritativního serveru.
- DNS ID Spoofing: Zachycení identifikačního čísla (ID) odchozího DNS dotazu. DNS (běžně používající protokol UDP) si příchozí odpovědi páruje podle tohoto ID. Pokud útočník zná (či uhodne) ID dotazu, může vygenerovat zfalšovanou odpověď.
- Vytváření falešných odpovědí (Fake reply): Útočník na lokální síti může využít například kombinaci s ARP spoofingem (Man-in-the-Middle), díky kterému má plný přístup ke komunikaci. Může si tak v reálném čase číst DNS dotazy, zjistit si jejich identifikační čísla a okamžitě na ně poslat otrávenou odpověď oběti.
- Kaminskyho Exploit: Závažná zranitelnost v návrhu DNS protokolu (objevena v roce 2008), která útočníkovi umožňovala úspěšně otrávit cache celého DNS serveru pro konkrétní doménu i bez odposlouchávání provozu, pomocí zasílání velkého množství dotazů na neexistující subdomény v kombinaci se snahou o uhodnutí ID (brute-forcing). To vedlo k masivním přesměrováním pro všechny uživatele daného DNS resolveru.