Посещая наш сайт, вы соглашаетесь с нашей политикой конфиденциальности в отношении файлов cookie, статистики отслеживания и т. д.

Главная » Вопросы и ответы » Информационная безопасность

Скрытая атака с подменой DNS в человеке посередине (MitM)

На чтение 3 мин Опубликовано
Содержание
  1. Вопрос или проблема
  2. Ответ или решение
  3. Скрытая атака «Человек посередине» (MitM) с подделкой DNS
  4. Возможности злоумышленника
  5. Настройки злоумышленника
  6. Заключение

Вопрос или проблема

Пусть будет так, что произошло отравление ARP, и злоумышленник находится между жертвами и маршрутизатором. Весь трафик, предназначенный для шлюза, теперь будет проходить через злоумышленника.

Сможет ли злоумышленник перехватить DNS-запросы и создать вредоносный DNS-ответ, когда для определенного FQDN (например, www.example.com), введенного с ПК жертвы, будут разрешены легитимные DNS-ответы с других сторон, кроме той, которую злоумышленник пытается перехватить, если DNS-сервер жертвы статически установлен на DNS-сервер Google по адресу 8.8.8.8?

Потребуется ли злоумышленнику настройка IP-перенаправления и какая-либо форма iptables, чтобы затем прослушивать порт назначения 53 для перехвата? Кроме того, что еще понадобится злоумышленнику для выполнения этой скрытой атаки MITM?

Ответ или решение

Скрытая атака «Человек посередине» (MitM) с подделкой DNS

Атака «Человек посередине» (MitM) представляет собой серьезную угрозу для сетевой безопасности. В данной ситуации мы рассматриваем случай, когда злоумышленник осуществил ARP-отравление (ARP poisoning), что позволило ему стать посредником между жертвой и маршрутизатором. В подобной конфигурации преступник может перехватывать трафик и осуществлять его модификацию.

Возможности злоумышленника

Если жертва (или жертвы) использует статически заданный DNS-сервер, например, Google DNS (8.8.8.8), то злоумышленник, находясь между жертвой и маршрутизатором, сможет перехватывать DNS-запросы. Однако важным аспектом является то, как будет реализован перехват и подделка DNS-ответа.

  1. Перехват DNS-запросов: Когда жертва делает запрос DNS к FQDN (например, www.example.com), запрос больше не будет направляться напрямую к DNS-серверу Google, а будет проходить через машину злоумышленника. Злоумышленнику необходимо настроить маршрутизацию, чтобы перехватывать пакеты.

  2. Создание поддельных DNS-ответов: При получении DNS-запроса на определённый домен, злоумышленник может отправить поддельный DNS-ответ. Например, вместо того чтобы вернуть IP-адрес сервера www.example.com, он может вернуть IP-адрес вредоносного сервера.

  3. Сохранение подлинных ответов: Злоумышленник может также оставить в покое остальные DNS-запросы, перенаправляя их к настоящему DNS-серверу (в данном случае 8.8.8.8), чтобы не привлекать к себе внимание. Таким образом, жертва может продолжать использовать интернет, не подозревая о том, что часть трафика под контролем злоумышленника.

Настройки злоумышленника

Для успешной реализации такой скользкой атаки, злоумышленник должен выполнить ряд настроек:

  1. IP Forwarding: Злоумышленник должен активировать IP-прокси на своем устройстве. Это позволит ему перенаправлять пакеты, чтобы они приходили как к нему (для перехвата и модификации), так и дальше к конечному DNS-серверу.

    Для Linux-систем это можно сделать командой:

    echo 1 > /proc/sys/net/ipv4/ip_forward

  2. iptables: Злоумышленнику нужны будут правила iptables, чтобы контролировать входящий и исходящий трафик к порту 53 (порт DNS). Теперь, когда трафик перехватывается, он сможет отправлять модифицированные пакеты обратно к жертве или к настоящему DNS-серверу.

    Пример команды для настройки iptables для перенаправления трафика:

    iptables -t nat -A PREROUTING -p udp --dport 53 -j DNAT --to-destination <IP_злоумышленника>:53

  3. Слушатели для UDP: Необходим будет запущенный слушатель на порту 53, который будет обрабатывать входящие DNS-запросы, создавать поддельные ответы и отправлять их обратно жертве.

  4. Использование инструментов: Злоумышленники могут использовать различные инструменты, такие как dsniff, ettercap или собственные скрипты для создания перехвата и подделки ответов DNS.

Заключение

Атака MitM с подделкой DNS представляет собой сложный, но осуществимый метод для злоумышленников, если они получают доступ к среде, где используя ARP-отравление могут контролировать трафик. Несмотря на существование безопасных практик, таких как использование DNSSEC и шифрование трафика через HTTPS, такие атаки подчеркивают важность комплексного подхода к кибербезопасности. Защитные меры должны включать внедрение статических ARP-записей, использование VPN и активное мониторинг сети для раннего обнаружения аномалий.

arp-spoofing dns dns-spoofing iptables network
Оцените материал
Добавить комментарий

Капча загружается...

© 2024 IZ6.RU
*В материалах сайта упоминаются социальные сети Фейсбук / Инстаграм, принадлежащие Meta Platforms Inc., деятельность которой запрещена на территории РФ в части реализации данных социальных сетей на основании осуществления ею экстремистской деятельности