Бесплатно Экспресс-аудит сайта:

Проверить
ГлавнаяО компанииПочему?Аудит безопасностиУстранение уязвимостейFAQНовостиКонтакты
28.02.2023

Перехват DNS – что это за атака и как она работает?

Перехват DNS – это один из видов DNS-атаки. Провести такую атаку можно тремя способами:

  • Установив вредоносное ПО на ПК жертвы;
  • Захватив контроль над маршрутизаторами;
  • Взломав DNS-соединение.

Затем злоумышленники изменяют IP-адрес ресурса, соответствующий определенному доменному имени, и перенаправляют жертву вместо запрошенного ею сайта на свой, где пользователю предлагается ввести свои учетные или банковские данные.

Как работает перехват DNS?

При регистрации домена у регистратора доменов, вы выбираете одно из доступных доменных имен, к которому будет привязан IP-адрес вашего сайта. Предположим, вы выбрали доменное имя BusinessSite.com.

И если злоумышленники смогут получить доступ к DNS-записи, в которой хранится уникальный IP вашего сайта и заменят его на другой, то при вводе доменного имени пользователи будут перенаправлены на сайт хакеров, а не на ваш сайт.

А как распознать перехват DNS?

У перехвата DNS есть несколько “симптомов”:

  • Медленная загрузка страниц;
  • Всплывающая реклама даже там, где ее быть не должно;
  • Всплывающие окна, убеждающие пользователя в том, что его ПК заражен вредоносным ПО.

Также распознать DNS можно с помощью пары несложных действий:

  • Пропингуйте сомнительный домен. Если результаты покажут, что IP-адреса не существует, то все в порядке – ваш DNS не был перехвачен.
  • Проверьте настройки вашего маршрутизатора через страницу администратора. Если настройки DNS изменены, то можно начинать бить тревогу.
  • Воспользуйтесь инструментом WhoIsMyDNS, который покажет сервер, отвечающий на DNS-запросы к вашему сайту. Если отображаемый DNS вам незнаком, то стоит задуматься – вы могли стать жертвой хакеров.

Четыре всадника перехвата DNS – разбираемся в типах этой атаки

Врага нужно знать в лицо, поэтому мы кратко расскажем о четырех формах перехвата DNS:

  • Локальный перехват DNS. В этом случае злоумышленник устанавливает троян на компьютер пользователя, а затем изменяет настройки локального DNS, перенаправляя жертву на вредоносные веб-сайты.
  • Перехват DNS с помощью маршрутизатора. Пользуясь уязвимостями в прошивке или паролями по умолчанию, злоумышленник может взломать маршрутизатор и изменить его настройки DNS.
  • Атака типа "человек посередине" (MITM). Злоумышленник может использовать методы этой атаки для перехвата запросов между пользователями и DNS-сервером, чтобы перенаправить жертв на вредоносные сайты.
  • Изменение записей DNS на DNS-сервере. Это позволяет злоумышленнику перенаправить DNS-запросы на вредоносные-веб сайты, которые пользователь может даже не отличить от легитимных.

Чем перехват DNS отличается от DNS-спуфинга и отравления кэша DNS?

В отличие от перехвата, при спуфинге не происходит намеренного отключения сайта жертвы от сети для осуществления атаки. Вместо этого хакер изменяет информацию в DNS, чтобы пользователь попал на вредоносный сайт.

А при отравлении кэша DNS злоумышленник использует уязвимость в конфигурации DNS. Если сервер не проверяет ответы DNS на корректность, чтобы убедиться в их авторитетном источнике (например, при помощи DNSSEC), он будет кэшировать некорректные ответы локально и использовать их для ответов на запросы других пользователей, пославших такие же запросы.

Как защититься от перехвата DNS?

  1. Регулярно проверяйте настройки DNS вашего маршрутизатора на странице администратора. Злоумышленники часто пользуются уязвимостями в прошивке и паролями по умолчанию, чтобы нажиться на ничего не подозревающих жертвах.
  2. Маршрутизаторы подвержены атакам, и угонщики используют эту слабость, чтобы нажиться на ничего не подозревающих жертвах. Кроме того, не забывайте регулярно менять пароль!
  3. Используйте статус Registry-Lock. Он защищает домены от нежелательных изменений, переносов и удаления, тем самым сильно усложняя работу хакерам.
  4. Не забывайте про антивирусы! Часто злоумышленники пытаются установить вредоносное ПО, чтобы проникнуть в вашу систему и украсть данные, необходимые для перехвата DNS. Надежное антивирусное решение на корню пресекает подобные попытки.
  5. Соблюдайте гигиену паролей! Используйте сложные пароли и не забывайте часто обновлять их, чтобы хакерам было намного труднее подобрать их.