Перехват dns-запроса или создание направленного шторма ложных dns-ответов на dns-сервер

Рассмотрим внедрение в сеть Internet ложного сервера путем перехвата DNS-запроса или создания направленного шторма ложных DNS-ответов на атакуемый DNS-сервер.

Из рассмотренной ранее схемы удаленного DNS-поиска следует, что если DNS-сервер не обнаружил указанное в запросе имя в своей базе имен, то такой запрос отсылается им на один из ответственных за домены верхних уровней DNS-серверов, адреса которых содержатся в файле настроек сервера root.cache.

Итак, если DNS-сервер не имеет сведений о запрашиваемом хосте, то он сам, пересылая запрос далее, является инициатором удаленного DNS-поиска. Поэтому ничто не мешает кракеру, действуя описанными в предыдущих пунктах методами, перенести свой удар непосредственно на DNS-сервер. В таком случае ложные DNS-ответы будут направляться атакующим от имени корневого DNS-сервера на атакуемый DNS-сервер.

При этом важно учитывать следующую особенность работы DNS-сервера. Для ускорения работы каждый DNS-сервер кэширует в области памяти свою DNS-таблицу соответствия имен и IP-адресов хостов. В том числе в кэш заносится динамически изменяемая информация об именах и IР-адpecax хостов, найденных в процессе функционирования DNS-сервера, то есть, если DNS-сервер, приняв запрос, не находит у себя в кэш-таблице соответствующей записи, он пересылает запрос на следующий сервер и, получив ответ, заносит найденные сведения в кэш-таблицу. Таким образом, при получении следующего запроса DNS-серверу уже не требуется вести удаленный поиск, так как необходимые сведения находятся у него в кэш-таблице.

Анализ подробно описанной здесь схемы удаленного DNS-поиска показывает, что если на запрос от DNS-сервера атакующий направит ложный DNS-ответ или (в случае шторма ложных ответов) будет вести их постоянную передачу, то в кэш-таблице сервера появится соответствующая запись с ложными сведениями, и в дальнейшем все хосты, обратившиеся к данному DNS-серверу, будут дезинформированы, а при адресации к хосту, маршрут к которому кракер решил изменить, связь с ним будет осуществляться через хост атакующего по схеме "ложный объект РВС". И, что хуже всего, с течением времени эта ложная информация, попавшая в кэш DNS-сервера, начнет распространяться на соседние DNS-серверы высших уровней, а следовательно, все больше хостов в Internet будут дезинформи-рованы и атакованы.

Очевидно, что в том случае, когда взломщик не может перехватить DNS-запрос от DNS-сервера, для реализации атаки ему необходим шторм ложных dns-ответов, направленный на DNS-сервер. При этом возникает следующая проблема, отличная от проблемы подбора портов в случае атаки на хост. Как уже отмечалось, DNS-сервер, посылая запрос на другой DNS-сервер, идентифицирует этот запрос двухбайтовым значением (ID). Это значение увеличивается на единицу с каждым передаваемым запросом. Атакующему узнать текущее значение идентификатора DNS-запроса не представляется возможным. Поэтому предложить что-либо, кроме перебора 2¹⁶ вероятных значений ID, сложно. Зато исчезает проблема перебора портов, так как все DNS-запросы передаются DNS-сервером на порт 53.

Еще одно условие осуществления атаки на DNS-сервер с использованием направленного шторма ложных dns-ответов состоит в том, что она будет иметь успех только в случае, если DNS-сервер пошлет запрос на поиск имени, которое содержится в ложном DNS-ответе. DNS-сервер посылает этот столь необходимый и желанный для атакующего запрос лишь тогда, когда на пего приходит DNS-запрос от какого-либо хоста на поиск данного имени и этого имени не оказывается в кэш-таблице DNS-сервера. Такой запрос может появиться когда угодно, и кракеру придется ждать результатов атаки неопределенное время. Однако ничто не мешает атакующему, никого не дожидаясь, самому послать на атакуемый DNS-сервер подобный DNS-запрос и спровоцировать DNS-сервер на поиск указанного в запросе имени. Тогда эта атака с большой вероятностью будет иметь успех практически сразу же после начала ее осуществления.

Рис. 4.7. Внедрение в Internet ложного сервера путем перехвата DNS-запроса от DNS-сервера

Рис. 4.8. Внедрение в Internet ложного сервера путем создания направленного шторма ложных DNS-ответов на атакуемый DNS-сервер

Вспомним, например, скандал, произошедший 28 октября 1996 года вокруг одного из московских провайдеров Internet - компании РОСНЕТ, когда пользователи данного провайдера при обращении к обычному информационному WWW-серверу попадали, как было сказано в телевизионном репортаже, "на WWW-сервер сомнительного содержания". Этот инцидент вполне укладывается в только что описанную схему удаленной атаки на DNS-сервер. С одним исключением: вместо адреса хоста атакующего в кэш-таблицу DNS-сервера был занесен IP-адрес другого, не принадлежащего взломщику, хоста (порносайта).

 

Классификация:

Навязывание объекту РВС ложного маршрута - активное воздействие(класс 1.2), совершаемый с любой из целей класса 2, безусловно по отношению к атакуемому объекту (класс 3.3). Данное типовое воздействие может осуществляться как внутри одного сегмента(5.1)так и межсегментно(5.2), как с обратной связью(4.1), так и без обратной связью с атакуемым объектом (4.2) на канальном(6.2), в сетевом(6.3) и транспортном (6.4) уровнях OSI.

Что может данная атака

Использование ложного объекта для организации удаленной атаки на распределенную ВС. Получив контроль над проходящим информационном потокам можно применить различные методы воздействия на перехваченную информацию

- селекция потока информации и сохранение ее на ложном объекте РВ

- модификация информации

Рассмотрим два вида модификации информации:

- модификация передаваемых данных

- модификация передаваемого кода

1) После анализа перехваченной информации отменяем данные и мы можем модифицировать информацию проходящую через передаваемый объект!!!!!: особую угрозу эта функция представляет для сетей обработ. конфиденциальной информации.

2) Модификация пер.кода. После систематического анализа переходящей информации ложный объект выделяет исполняемый код. Нет разницы между кодом и данными. Представляется возможным выделить два различных по цели модификации кода:

- внедрение разрушающих программных средств

- изменение поиска работы исполняющего файла (изменение точки)

3) Исследование принципа работы файла

 

4 ) отказ в обслуживании (ДОС)

Схема

DOS-атака

1) направленный шторм ложных ТСР- запросов на создание соединения

Рис. 4.16. Нарушение работоспособности хоста в Internet, использующее направленный шторм ложных TCP-запросов на создание соединения

Сетевая операционная система поддерживает ограниченное число открытых виртуальных соединений, а также отвечает на ограниченное число запросов (эти ограничения устанавливает для каждой ОС индивидуально)

Основная проблема - отсутствие ключевой информации в ВС а индификация запроса возможна только по адресу его отправителя.

1) То есть атакующему хосту позволяется послать бесконечное число анонимных запросов на подключение от имени другого объекта (тем самым переполняется очередь запроса)

Результат- нарушение на атакуемом объекте работоспособности сервисов, или самой ОС.

2)Разновидность заключается в передаче с одного адреса стольких запросов на атакуемый объект, сколько позволит пропускная способность канала передачи (flooding- наводнение).Если в системе не предусмотрено ограничение числа принимаемых запросов с одного адреса в единицу времени, то результатом – нарушение работы системы от переполнения очередей запросов одной из служб.

Направленный шторм запросов на 21, 25, 80, 110 и 139 порты

Эксперимент осуществлялся следующим образом. На соответствующий порт атакуемого сервера в цикле TCP SYN отправлялось 9 500 запросов в секунду, что составляет около 50% от максимально возможного количества сообщений при пропускной способности канала 10 Мбит/с. В результате было выведено пороговое значение, определяющее число запросов в секунду, при превышении которого удаленный доступ к серверу становится невозможным.

Во время шторма TCP-запросов на указанные порты наблюдалась следующая реакция системы:

замедлялась работа локального пользователя (нажатия на клавишу обрабатывались 1-10 секунд, менеджер задач показывал 100-процентную загрузку процессора);

удаленный доступ но сети к атакуемому серверу на любой порт оказывался невозможным;

на сервере из-за нехватки памяти переставали запускаться любые процессы (появлялись сообщения "Нет системных ресурсов");

при шторме на 139-й порт с довольно большой вероятностью (около 40%) система через некоторое время "зависала" ("синий экран");

после перезагрузки сервера при постоянно идущем шторме на 139-й порт сервер, как правило, "зависал" (вероятность более 50%);

при попытке обращения с консоли сервера в сеть возникали многочисленные ошибки (пакеты не передавались, система "зависала").

После прекращения шторма запросов TCP SYN у атакуемого NT-сервера наблюдалась следующая реакция:

из-за нехватки памяти переставали запускаться любые процессы (появлялись сообщения "Нет системных ресурсов"). Удаленный пользователь не всегда мог получить необходимую ему информацию, даже если удаленный доступ к портам сервера был возможен (HTTP-сервер при попытке обращения к ссылке возвращал ошибку);

при попытке вызова Менеджера задач на локальной консоли система "зависала";

иногда наблюдались отказы в обслуживании при любом удаленном доступе.

В заключение необходимо отметить, что такие реакции системы на атаку штормом запросов во многом являлись стохастическими, то есть проявлялись не всегда и не всегда были строго детерминированы (в процессе многочисленных экспериментов описанные реакции системы наблюдались лишь с той или иной степенью вероятности). Однако можно утверждать, что, во-первых, при шторме с числом запросов 8 500 пак./с удаленный доступ к серверу невозможен и, во-вторых, в такой ситуации функционирование сервера чрезвычайно нестабильно и серьезно осложняет (замедляет, прекращает и т. д.) работу удаленных пользователей.

 

 

Защита: Для IPV 4 полной защиты нет, и не может быть. Для повышения надежности работы системы, подвергаемой данной атаке - использовать как можно более мощные компьютеры, и сетев. ОС. Уменьшить тайм-аут очистки очереди. После: для IPV 4 раслабтесь и надейтесь, что ваш сервер не представляет ни для кого интереса.

INS

1) UDP

2) UDP пакет≥1023 и +t при______

3) Значение IP DNS запроса

С DNS сервером SS-_______

 

Типовая удаленная атак - ”отказ в обслуживании” является активным воздействием(1.2). Осуществляется с целью нарушения работоспособности системы(2.1), относительно объекта атаки (3.3). Данная атака является одно направленной (4.2), внутри сегментным (5.1) или меж сегментным воздействием (5.2) осуществляется на канальном (6.2), сетевом (6.3), транспортном (6.4) и прикладной (6.7) уровней модели OSI.

Лекция 7