Что такое DNS?

DNS (domain name system) – система доменных имен, выполняющая роль каталога имен сайтов в интернете. Она преобразует доменное имя (например, kaspersky.ru) в соответствующий IP-адрес, по которому веб-браузер загружает нужные пользователю ресурсы (например, эту статью). DNS используется во всем мире для отслеживания, регистрации веб-сайтов и управления ими.

Чтобы получить более подробное представление о DNS, необходимо понять, как она работает. Но в первую очередь разъясним нужные термины.

IP-адрес (Internet Protocol address – адрес по интернет-протоколу) – идентификатор, присвоенный каждому уникальному компьютеру и серверу в интернете. Он определяет местоположение компьютера в сети и используется для обмена данными с другими машинами.

Домен (или доменное имя) – имя в текстовом виде, которое позволяет запоминать и идентифицировать конкретные веб-сайты и их серверы и обращаться к ним. Например, домен www.kaspersky.ru человеку легче запомнить и использовать, чем фактический идентификатор сервера, то есть IP-адрес.

Серверы системы доменных имен (DNS-серверы, или серверы имен DNS) – серверы, задействованные в процессе DNS-поиска. Они делятся на четыре категории: преобразующий сервер имен, корневые серверы имен, серверы доменов верхнего уровня (TLD) и авторитетные серверы имен. Давайте рассмотрим особенности каждой категории.

1. Преобразующий сервер (или рекурсивный преобразователь) отвечает за преобразование доменных имен в процессе DNS-поиска. Он получает запросы от клиента (через веб-браузер или приложение) и передает их другим серверам DNS (см. ниже), чтобы по доменному имени определить целевой IP-адрес. В ответ он может отправить клиенту кешированные данные или передать запрос корневому серверу. Во время поиска преобразующий сервер постоянно обменивается данными с другими серверами, перечисленными ниже.
2. Корневой сервер имен (корневой сервер) – первое звено в цепочке DNS-поиска. В иерархической структуре DNS, «корневая зона» будет находиться на верхнем уровне. В ней и работает корневой сервер имен. Он часто служит отправной точкой процесса поиска.
3. Сервер доменов верхнего уровня (TLD) находится на один уровень ниже корневой зоны. Он вступает в поиск на следующем этапе и содержит информацию обо всех доменных именах с распространенными доменными расширениями: .com, .net и так далее.
4. Авторитетный сервер имен осуществляет последний этап поиска и содержит информацию, относящуюся к конкретному доменному имени, по которому выполняется поиск. Он может предоставить преобразующему серверу правильный IP-адрес.

Итак, мы дали определение DNS, получили общее представление о ней и ее серверах. Теперь давайте рассмотрим, как она работает.

Как работает DNS?

Когда вы ищете веб-сайт в браузере по доменному имени, вы запускаете процесс DNS-поиска. Он состоит из шести этапов.

1. Ваш веб-браузер и операционная система (ОС) пытаются найти IP-адрес, привязанный к доменному имени. Если вы уже посещали этот веб-сайт, IP-адрес может найтись на диске компьютера или в кеше памяти.
2. Если ни один компонент не знает целевого IP-адреса, процесс продолжается.
3. ОС запрашивает IP-адрес у преобразующего сервера имен. Запрос запускает поиск через серверы системы доменных имен, чтобы найти соответствующий домену IP-адрес.
4. Сначала запрос поступает на корневой сервер имен, который направляет его на сервер доменов верхнего уровня (TLD) через преобразователь.
5. Сервер TLD передает запрос (указывает на него) авторитетному серверу имен, снова через преобразователь.
6. Наконец, преобразователь, обмениваясь данными с авторитетным сервером имен, находит IP-адрес и присылает его в ОС. Она передает его в веб-браузер, который открывает искомый веб-сайт или страницу.

DNS-поиск – важнейший процесс, на основе которого работает весь интернет. К сожалению, преступники могут эксплуатировать уязвимости DNS и перенаправлять пользователей на другие веб-сайты. Такие вредоносные действия называются спуфингом и отравлением кеша DNS. Мы расскажем, что это такое и как это работает, чтобы помочь вам избежать угрозы.

Use the same image as one listed on the current page as featured image

Определения спуфинга и отравления кеша DNS

Отравление кеша и спуфинг системы доменных имен (DNS) – виды кибератак, в которых уязвимости DNS-серверов используются для перенаправления трафика с легитимных веб-серверов на мошеннические. После перехода на вредоносную страницу у вас может не получиться преобразовать адрес обратно. Чтобы защититься, нужно знать, как работает угроза.

Спуфинг и отравление кеша DNS относятся к самым коварным киберугрозам. Если не понимать, как интернет предоставляет доступ к веб-сайтам, можно подумать, что нужный вам веб-сайт просто взломан. Но в некоторых случаях проблема скрыта в вашем устройстве. Более того, решения кибербезопасности не могут полностью защитить от DNS-спуфинга.

Как работает отравление кеша и спуфинг DNS

Наиболее серьезные угрозы, связанные с DNS, носят двойственный характер.

1. DNS-спуфинг – перенаправление трафика на серверы, имитирующие легитимные. Ничего не подозревающие жертвы оказываются на вредоносных веб-сайтах – в этом и состоит цель различных атак с использованием спуфинга.
2. Отравление кеша DNS – метод DNS-спуфинга на стороне пользователя: система записывает в кеш локальной памяти поддельный IP-адрес. Так как DNS вызывает IP-адрес из локальной памяти, то пользователь может попадать на вредоносный веб-сайт, даже если проблема на стороне сервера устранена или никогда не существовала.

Методы спуфинга и отравления кеша DNS

Среди методов атак с использованием DNS-спуфинга наиболее часто встречаются следующие.

Атаки Man-in-the-Middle («человек посередине»). Злоумышленники внедряются в обмен данными между вашим веб-браузером и DNS-сервером. Он используют специальный инструмент для одновременного отравления кеша на вашем устройстве и на DNS-сервере. В результате вы вместо запрошенного веб-сайта попадаете на вредоносный, размещенный на сервере злоумышленников.

Захват DNS-сервера. Злоумышленники напрямую изменяют конфигурацию сервера, чтобы перенаправлять всех запрашивающих пользователей на вредоносный веб-сайт. После инъекции поддельной DNS-записи в DNS-сервер любой запрос IP-адреса для определенного домена будет приводить на поддельный веб-сайт.

Отравление кеша DNS через спам. Код для отравления кеша DNS часто включен в ссылки, прилагаемые к спам-письмам. Злоумышленники рассылают такие письма, чтобы запугать пользователей и вынудить перейти по ссылке, заражающей компьютер. Баннерная реклама и изображения (как в письмах, так и на небезопасных веб-сайтах) тоже могут перенаправить пользователя на загрузку вредоносного кода. После отравления компьютер будет открывать поддельные веб-сайты, имитирующие настоящие. Именно там поджидают реальные угрозы.

Риски, связанные со спуфингом и отравлением кеша DNS

Спуфинг и отравление кеша DNS подвергают вас следующим рискам:

• Кража
• Заражение вредоносным ПО
• Приостановка обновлений безопасности
• Цензура

DNS-спуфинг несет в себе несколько рисков для устройств и персональных данных.

Кража данных с использованием DNS-спуфинга приносит большую прибыль. Злоумышленники могут подделывать веб-сайты банков и популярных интернет-магазинов, чтобы воровать пароли, данные банковских карт и личную информацию. Вместо легитимных сайтов пользователи будут попадать на фишинговые, собирающие персональные данные.

Заражение вредоносным ПО – еще одна распространенная угроза, которую несет в себе DNS-спуфинг. Перенаправление из-за спуфинга может привести на веб-сайт с вредоносными программами. Заражение происходит автоматически, путем скрытой загрузки. Не используя инструменты для защиты в интернете, вы подвергаетесь риску заражения шпионскими программами, клавиатурными шпионами или червями.

Приостановка обновлений безопасности тоже может быть результатом DNS-спуфинга. Если подмене подвергнутся сайты поставщиков защитных решений, обновления безопасности не будут устанавливаться на компьютер. В результате он может оказаться уязвимым перед другими угрозами, такими как вирусы или троянцы.

Цензура – реальная угроза в некоторых регионах мира. Например, Китай использует модификации DNS, чтобы пользователи в пределах страны получали доступ только к веб-сайтам, одобренным властями. «Золотой щит» (или «Великий китайский файрвол») – система фильтрации интернет-контента в КНР, которая демонстрирует возможный масштаб DNS-спуфинга.

Трудности с устранением отравления кеша DNS. Так как очистка зараженного сервера не избавляет компьютер или мобильное устройство от проблемы, устройство будет возвращаться на поддельный сайт. Более того, очищенные компьютеры, подключившись к зараженному серверу, снова могут быть скомпрометированы.

Как предотвратить спуфинг и отравление кеша DNS

Средства предотвращения спуфинга DNS на стороне пользователя довольно ограничены. У владельцев веб-сайтов и провайдеров серверов больше возможностей защитить себя и своих пользователей. Чтобы предотвратить спуфинг-атаки и обеспечить безопасность пользователей, усилия должны приложить обе стороны.

В этом им помогут:

1. Инструменты для обнаружения DNS-спуфинга
2. Расширения безопасности для системы доменных имен (DNSSEC)
3. Сквозное шифрование

Способы предотвратить угрозы на стороне конечных пользователей:

1. Отказ от перехода по незнакомым ссылкам
2. Регулярная проверка компьютера на наличие вредоносного ПО
3. Очистка кеша DNS, чтобы избежать заражения
4. Использование виртуальной частной сети (VPN)

Рекомендации для владельцев веб-сайтов и поставщиков DNS-серверов

Владелец веб-сайта или поставщик DNS-сервера несет ответственность за безопасность пользователей. Они могут использовать защитные инструменты и протоколы, чтобы предотвратить угрозу. Рекомендуем использовать следующие средства.

1. Инструменты для обнаружения DNS-спуфинга. Они работают аналогично защитным продуктам для конечных пользователей и проактивно сканируют все полученные данные перед дальнейшей отправкой.
2. Расширения безопасности системы доменных имен (DNSSEC). Эти расширения подтверждают подлинность данных в процессе DNS-поиска и снабжают их цифровой подписью.
3. Сквозное шифрование. Шифрование данных в запросах и ответах DNS не позволяет злоумышленникам дублировать уникальный сертификат безопасности легитимного веб-сайта.

Рекомендации для пользователей

Пользователи особенно уязвимы перед подобными угрозами. Чтобы не стать жертвой атаки с отравлением кеша DNS, следуйте следующим простым рекомендациям.

1. Не переходите по незнакомым ссылкам. В том числе полученным в электронных письмах, текстовых сообщениях или социальных сетях. Инструменты для сокращения URL-адресов могут маскировать и конечный адрес ссылки, поэтому старайтесь таких ссылок избегать. Чтобы гарантировать безопасность, всегда вводите URL-адрес в адресную строку вручную. Но сначала убедитесь, что этот адрес официальный и легитимный.
2. Регулярно проверяйте компьютер на наличие вредоносного ПО. Возможно, вы не сможете устранить само отравление кеша DNS, но защитное ПО поможет обнаружить и устранить возникшее из-за этого заражение. Поддельные веб-сайты могут загружать на компьютер различные вредоносные программы, поэтому всегда следует проверять компьютер на наличие вирусов, шпионского ПО и на другие скрытые проблемы. Кроме того, вредоносное ПО, в свою очередь, может осуществлять спуфинг. Всегда используйте локальные, а не облачные версии программ, так как отравление DNS может привести вас на поддельный ресурс.
3. Очищайте кеш DNS, чтобы избежать заражения. Скомпрометированный кеш остается в системе надолго, если не удалить зараженные данные. Для этого откройте приложение «Выполнить» (Run) в ОС Windows и введите команду ipconfig /flushdns. В ОС Mac, iOS и Android тоже есть способы очистить кеш DNS. К ним относятся: параметр «сброс сетевых настроек», включение режима «в самолете», перезагрузка устройства или специальный веб-сайт для данного устройства. Поищите способ очистить кеш DNS на своем конкретном устройстве.
4. Используйте виртуальную частную сеть (VPN). Она создает зашифрованный туннель для всего веб-трафика и использует частные DNS-серверы, которые передают только защищенные сквозным шифрованием запросы. Такие серверы более устойчивы к DNS-спуфингу, а запросы, направленные через них, нельзя перехватить.

Защитите себя от DNS-спуфинга и атак вредоносного ПО. Используйте решения «Лаборатории Касперского» для дома.

Статьи и ссылки по теме:

• Что такое спуфинг?
• Что такое фарминг и как от него защититься?
• Что такое IP-адрес – определение и описание
• Какие существуют типы вредоносных программ?

Связанные продукты:

• Kaspersky Security для малого бизнеса
• Kaspersky Security для среднего бизнеса
• Kaspersky Enterprise Security