Eredeti: Cyber ​​​​Attacks Explained: DNS Invasions
Szerző: Prashant Phatak
Megjelenés dátuma: 2012. február 22
Fordítás: A.Panin
Az átutalás időpontja: 2012. december 8

Gyakran látunk olyan webhelyeket, amelyeket megrongáltak, és amelyek kezdőlapját támadók cserélték le. Hogyan hajtanak végre a hackerek ilyen támadásokat, és hogyan védhetjük meg tőlük hálózati infrastruktúránkat? Ez a cikk elmagyarázza, hogy a támadók hogyan tudják megzavarni a DNS-t (Domain Name System). A DNS-támadások technikailag összetettek és veszélyesek a hálózati és webes infrastruktúrára nézve. A hálózati rendszergazdáknak a lehető legtöbbet tudniuk kell az ilyen típusú támadásokról, és minden lehetséges lépést meg kell tenniük az általuk kiszolgált infrastruktúra biztonsága érdekében.

Mint tudjuk, a DNS létezésének oka az a tény, hogy az ember nem tud sok IP-címet megjegyezni a webhelyek eléréséhez, míg a betűkből és számokból álló webhelyneveket könnyen meg tudja jegyezni. A DNS-rendszert abban az időben tervezték, amikor az internetet barátságos emberek használták, ami a rendszer bizonyos funkcióihoz vezetett a modern időkben.

Az 1. ábra a hálózati névfeloldó szolgáltatás alapelveit mutatja be. Amikor egy alkalmazás (például egy böngésző) csatlakozni akar egy távoli szolgáltatáshoz, lekérdezi a DNS-kiszolgálótól az IP-címet. Ez a kérés csomag formájában kerül elküldésre az 53-as UDP-porton, amely után a szerver csomag formájában ad vissza választ. (Ne feledje, hogy az UDP-datagramok 512 bájtos adatméret-korlátja miatt a protokollverem automatikusan TCP-t használ a kérések lebonyolításához és a válaszok fogadásához.) Amikor egy ügyfél választ kap, hozzáadja az adatokat a helyi gyorsítótárához, amely felgyorsítja a további hívásokat ugyanabba a tartományba. A helyi gyorsítótár elemei élettartamuk lejárta után automatikusan megsemmisülnek (TTL (Time to Live) paraméter).

1. ábra: Domain név felbontása

A DNS-rendszer olyan rekordtípusokat használ, mint az A, CNAME, SOA, MX és mások. Bár az ilyen típusú bejegyzések leírása túlmutat e cikk keretein, fontos, hogy a rendszergazdák tisztában legyenek azzal, mikor és hogyan kell ezeket használni, és használatuk előtt kutatást kell végezni a rendszer jövőbeli biztonságáról. Mielőtt megvizsgálnánk a DNS-rendszer elleni támadásokat, kétféle lekérdezést kell figyelembe vennünk – iteratív és rekurzív.

• Iteratív DNS-lekérdezések Megjegyzés: Míg egy kliens lekérdezést küld egy DNS-kiszolgálónak, hogy információt keressen egy tartományról, a DNS-kiszolgáló rendelkezhet információval az adott tartományról, vagy nem. Ha a DNS-kiszolgáló nem kap választ, a kérés teljesítése helyett egy magasabb DNS-kiszolgáló nevét küldi el a kliensnek, amely esetleg rendelkezik a szükséges információkkal. Ezt a folyamatot általában DNS-hivatkozásnak nevezik. A kliens kérést küld a következő (meghatározott) szervernek; ha nem érkezik válasz, akkor elküldi a felsőbbrendű szerver nevét a kliensnek. Ez a folyamat mindaddig folytatódik, amíg az ügyfél IP-címet vagy hibaüzenetet nem kap arról, hogy a kérést nem lehet végrehajtani.
• Rekurzív DNS-lekérdezések: Ebben az esetben a folyamat azzal kezdődik, hogy az ügyfél tartománynév-feloldási kérést küld közvetlenül a DNS-kiszolgálónak. Ha a DNS-kiszolgáló nem válaszol, akkor a magasabb kiszolgálókkal való kommunikációt kell elvégeznie, ahelyett, hogy csak a nevüket adná meg az ügyfélnek. Ismételten, ha a felsőbbrendű kiszolgáló nem rendelkezik a kérés megválaszolásához szükséges információkkal, továbbítja a kérést a felsőbbrendű kiszolgálónak. Ez a folyamat addig folytatódik, amíg a lekérdezés el nem éri a gyökér DNS-kiszolgálót, amelynek rendelkeznie kell szükséges információés válasz érkezik a klienshez, és ha a kért név nem létezik, hibaüzenetet küld vissza a kliens a szerverlánc mentén. Az iteratív módszertől eltérően a rekurzív lekérdezést agresszívebbnek tekintik az eredmény megszerzésében.

Az iteratív lekérdezéseket általában DNS-kiszolgálók, míg a rekurzív lekérdezéseket a kliensek hajtják végre, mivel ez a fajta lekérdezés elkerüli a DNS-átirányítások feldolgozásának bonyolult mechanizmusát. A rendszerbiztonság szempontjából a rendszergazdáknak ismerniük kell a DNS-rendszerek működésének alapjait, mivel egy szervezetben több DNS-kiszolgáló is működhet, szinkronizálva a zónarekordokat az adatok konzisztenciájának megőrzése érdekében.

A DNS-adatokat rendszeres időközönként szinkronizálja a rendszerszolgáltatások újraindítása nélkül, és ha a gyökérkiszolgálón módosításokat hajt végre, az automatikusan elküldi a változási adatokat a downstream szervereknek. Az adatok szinkronizálásához szükséges időt az egyes bejegyzések élettartama paraméterei határozzák meg. A földrajzilag elosztott DNS-szerverek esetében az adatszinkronizálási időszak akár egy napig is eltarthat, mivel a láncban lévő szerverek mindegyike saját gyorsítótárat használ a lekérdezések feldolgozásának felgyorsítására.

DNS-rendszerek elleni támadások

Azt vették észre rendszergazdák sok időt töltenek az alkalmazások, szerverek és egyéb infrastruktúra-összetevők biztonsági rendszereinek fejlesztésével, de sajnos hajlamosak megfeledkezni a DNS-kiszolgálók biztonsági rendszereiről. Tekintsük a 2. ábrát, amely a DNS-kiszolgálók lehetséges gyengeségeit mutatja, amelyek sebezhetővé teszik őket a támadásokkal szemben. A DNS-t úgy tervezték, hogy a legtöbb kommunikációt UDP-n keresztül kezelje, nincs beépített biztonsága és nincs beépített hitelesítési támogatása, amelyek mindegyike sebezhetőbbé teszi a támadásokkal szemben, mint más hálózati szolgáltatások. Nézzünk meg néhány típust a leggyakoribb DNS-támadásokról.

2. ábra: A DNS-kiszolgálók lehetséges gyengeségei

DNS-gyorsítótár módosítása (DNS-gyorsítótár-mérgezés)

Ez a támadás lehetővé teszi a névfeloldási folyamat kétféle befolyásolását. Az első módszer használatakor a támadó rosszindulatú szoftvert (rootkitet vagy vírust) telepít, amelynek a helyi szoftvert kell irányítania DNS gyorsítótár az ügyfél gépén. A helyi DNS-gyorsítótár bejegyzései ezután módosulnak, hogy más IP-címekre mutassanak.

Például, ha egy böngésző a CNN IP-címe helyett a http://www.cnn.com/ címmel próbál elérni egy webhelyet, akkor a támadó szoftvere által beállított címet kap, amely általában a következő címen található webhelyre vezet. a támadó tulajdonában lévő szerver, amely rosszindulatú szoftvert vagy a felhasználót sértő üzenetet tartalmaz.

A második, veszélyesebb mód az, hogy a támadó megtámadja a DNS-kiszolgálót, és módosítja annak helyi gyorsítótárát, így minden szerver, amely ezt a szervert használja névfeloldásra, helytelen IP-címeket kap, ami végső soron azok megsértéséhez vezet. információ elvesztése vagy ellopása.

Nagyon ritka esetekben a támadók hozzáférhetnek a gyökér DNS-kiszolgálóhoz, amely alapvető gyökértartományrekordokat tárol, például .com, .net vagy egyes országok tartománynévrendszerének rekordjait. A crackerek ezen a szerveren módosíthatják a rekordokat, míg a többi szerver automatikusan megkapja a megváltozott adatokat, ami a kereskedelmi hálózati szolgáltatások és oldalak globális kieséséhez vezethet. Bár az ilyen helyzetek nagyon ritkák, előfordulnak – nem is olyan régen egy nagy közösségi hálózatot zavart meg egy ilyen támadás.

DNS-szerver-hamisítás (DNS-eltérítés)

Ezt a támadást gyakran használják a DNS-rendszerek működésének megváltoztatására is. Ebben az esetben a kliens DNS-gyorsítótárában nem történik változás, csak a beállításokat módosítják, ami után minden névfeloldási kérés a támadó személyes DNS-kiszolgálójához kerül. Ennek a támadásnak általában nem az a célja, hogy adatokat lopjon, hanem statisztikai információkat gyűjtsön az ügyfél számítógépéről. A támadó szerverére küldött összes névfeloldási kérés megfelelően végrehajtásra kerül, de a támadó információkat kap az ügyfél által felkeresett webhelyekről.

Ez az információ később felhasználható az ügyfélnek való megjelenítésre kontextuális reklámozás. Egyes hackerek arra használják, hogy a felhasználókat webhelyeikre irányítsák át, ill kereső motorok reklámokból pénzt kapni, vagy egyszerűen csak adatokat lopni és social engineering technikákat alkalmazni. Azokban az esetekben, amikor ezt a funkciót A DNS nem használható személyes haszonszerzésre, számos ismert oldal és internetszolgáltató használja statisztikai adatok gyűjtésére a felhasználó által meglátogatott erőforrásokról.

DNS-hamisítás (DNS-hamisítás)

Ez a támadás emberi lehallgatás, amelyben a támadó átveszi az irányítást egy DNS-kiszolgálót futtató hálózat felett, és csomaghamisítással módosítja az ARP-gyorsítótárat. Miután megszerezte a MAC-cím szintű hálózat irányítását, a támadó kiszámítja a DNS-kiszolgáló IP-címét, és elkezdi figyelni és módosítani az adott kiszolgálónak szánt lekérdezéseket.

A hálózatról érkező összes kérés átmegy a támadó számítógépén, és eléri a valódi DNS-kiszolgálót. Ennek a támadásnak súlyos következményei lehetnek, mivel a hálózaton lévő összes számítógép semmilyen módon nem rögzíti a támadás tényét, és minden DNS-lekérdezést a támadó számítógépének címére küld.

Létezik alternatív módon ezt a DNS-azonosító hamisításnak nevezett támadást. Minden DNS-kérelem és -válasz egyedi azonosítóval rendelkezik, amely megkülönbözteti a DNS-kiszolgálónak egy időben küldött kéréseket. Ezek az egyedi azonosítók gyakran a MAC-címből, a kérés dátumából és időpontjából jönnek létre, és a protokollverem automatikusan generálja őket.

A támadó egy szippantó segítségével rögzít egy vagy több kérést és választ a megfelelő azonosítókkal, majd kérést generál a megfelelő azonosítóval és egy hamisított IP-címmel. Ezen műveletek eredményeként egy hamisított IP-cím kerül tárolásra a megtámadott rendszer helyi gyorsítótárában. Ezt követően a megtámadott rendszer megsérülhet, ha a szerveren a rosszindulatú címmel helyezzük el szoftver.

DNS újrakötés

Ezt a támadást "DNS pinningnek" ("DNS pinnig") is nevezik, és egy különösen kifinomult támadás. Ebben a támadó először regisztrálja a saját domain nevét, majd beállít egy minimális rekord élettartam-értéket, amely megakadályozza, hogy az adott tartománynévvel kapcsolatos információk bejussanak a gyorsítótárba.

DNS szolgáltatásmegtagadási támadások

Amint azt a sorozat első cikkéből megtudtuk, az 53-as porton lévő UDP- vagy TCP-kéréscsomagok árvízi bombázása a szerver szolgáltatásmegtagadását eredményezheti. A támadás másik módja a ping csomagok vagy TCP SYN-ek elárasztása. Az ilyen műveletek mögött meghúzódó fő gondolat a szervererőforrások maximalizálása ( CPUés véletlen hozzáférésű memória), hogy a szerver ne válaszoljon. Bár a DNS-kiszolgálókat tűzfalak védik, ha a DNS UDP-portjai nincsenek blokkolva a nem megbízható hálózatok hozzáférésétől, a tartománynév-feloldó rendszer elérhetővé válik a felhasználók számára. ebből a típusból támadások.

A magas terhelés a DNS-kiszolgáló olyan feladatokkal való betöltését jelenti, amelyeket a szerver nem tud végrehajtani. Számos módja van a szerver indításának, és végül működésképtelenné tételének. Az egyik módszer megvalósításához rosszindulatú szoftvert (trójai) használnak, amely számos gazdagép helyi DNS-gyorsítótárát módosítja. Ezen műveletek után az összes módosított gyorsítótárral rendelkező csomópont kéréseket kezd küldeni egy adott névkiszolgálónak, amelyet a crackerek előre kiválasztottak.

Mindegyik kiszolgáló csak korlátozott számú kérésre tud válaszolni korlátozott időn belül (a CPU teljesítményétől és konfigurációjától függően), és végül elkezdi hozzáadni a kéréseket a sorhoz. Minél több ügyfelet módosítanak a helyi DNS-gyorsítótárban, annál több kérés érkezik a várakozási sorba, és végül a szerver megbénul.

A támadás egy másik típusában a cracker módosítja a gyorsítótárat DNS szerverek; az A vagy CNAME rekordoknak megfelelő IP-címek cseréje helyett a tartománynevek módosulnak. A helyzet bonyolítása érdekében minden domain név több száz vagy több ezer karakterből állhat. Az adatszinkronizálási folyamat, amely a módosítások végrehajtása után kezdődik, abból áll, hogy a fő névszerverről sok kilobájt adatot küldenek a downstream szerverekre, majd végül az ügyfeleknek.

A rekord élettartamának lejárta után az adatszinkronizálási folyamat újraindul, és egy vagy több DNS-kiszolgáló meghibásodásához vezethet a láncban. Ezek a gyorsítótárra gyakorolt ​​hatások egy elosztott szolgáltatásmegtagadási támadást szimulálnak, amely veszélyes és nehezen irányítható.

Ingyenes szoftveren alapuló rendszervédelem

Az ingyenes rendszerek világában létezik a domain névfeloldó szolgáltatás megvalósítása, amely az analógokhoz képest a legnagyobb működési sebessége miatt ismert világszerte. A legszélesebb körben használt és legismertebb megoldás a Bind szolgáltatás. Mivel azonban a DNS-szolgáltatások elleni támadások többsége protokollhibákat használ, az ingyenes rendszerek tartománynév-feloldó szolgáltatással való biztonságossá tétele nehezebbé válik.

A biztonsági rendszer tervezésének legelső lépése a bezárás hálózati réteg. A kiszolgáló karbantartására szolgáló portokon kívül csak a DNS-lekérdezések portjai maradhatnak nyitva, és az összes többi portot le kell tiltani mind a tűzfalon, mind pedig közvetlenül az operációs rendszert használó szerveren.

A következő fontos lépés annak biztosítása, hogy a Domain Name Resolution kivételével ne legyen más szoftver telepítve a szerverre. Ezt az óvintézkedést különösen akkor kell megtenni, ha olyan vállalati gyökérnév-feloldó kiszolgálóval dolgozik, amely támogatja az összes belső tartománynévfeloldást, és kezeli a helyi hálózat külső szervereihez intézett összes névfeloldási kérést.

Gyakran előfordul, hogy egy sebezhetőség harmadik féltől származó program lehetővé teszi a névfeloldó szerver beszivárgását. Bár a hálózati infrastruktúra legfontosabb részeit tűzfal védi, egységes fenyegetéskezelés és hatékony víruskereső programok, gyakran szükséges a védelmet behatolásérzékelő rendszerrel fokozni. Lehetővé teszi az OSI 2. és 3. rétegű támadások, például az ARP-hamisítás, az IP-hamisítás, a szippantó támadások és más típusú támadások visszaverését.

A fent vázolt alapvető óvintézkedéseken kívül számos összetett módszert is alkalmazni kell. Mint korábban megtudtuk, minden kérésnek saját egyedi azonosítója van, és UDP-csomagban küldik el. Sajnos az RFC szabványokban leírt DNS-verem kialakítása miatt ezek az azonosítók könnyen megjósolhatók, így a véletlen számok Az azonosítók generálása jó ötlet a hamisítási támadások megelőzésére. Hasonlóképpen, az UDP portszám, amelyen a névfeloldó szerver kéréseket fogad és válaszol, szintén könnyen megjósolható, és véletlenszerűre módosítható.

Erre a célra léteznek nyílt forráskódú programok. forráskód, de használatukkor ügyeljen arra, hogy kis késleltetést okoznak a kérés feldolgozásában. Egy viszonylag új és népszerű biztonsági technológia a DNSSEC (DNS Security Extensions). Megvédi az ügyfeleket és a szervereket a DNS-gyorsítótárat módosító támadásoktól azáltal, hogy a rekordokat titkosítással írja alá. nyilvános kulcs. Az SSL-hez hasonlóan a kérelmező és a válaszadó megbízható kapcsolatot létesít egymással, és a kapcsolat létrejötte után megkezdődik a névfeloldási folyamat.

A névfeloldási folyamat befejezése után a munkamenet alaphelyzetbe áll, és így mindkét fél biztonsága megmarad. A DNSSEC technológiát a világ legtöbb ISP-kiszolgálóján implementálják.

A DNS-interferencia a támadások gyakori típusa. Ez a protokoll hibáinak kihasználásával kezdődik, és oda vezet, hogy a támadó hozzáfér az IT-infrastruktúrához, vagy számítógépeket használ más típusú támadások végrehajtására, például adathalászathoz. Az ingyenes szoftveres rendszerek is érzékenyek ezekre a támadásokra, ezért a rendszergazdáknak meg kell érteniük és alkalmazniuk kell azokat a technikákat, amelyekkel megvédhetik infrastruktúrájukat az adatvesztéstől vagy -lopástól.

Ez a cikk ugyanazon szerző (Prashant Phatak) kibertámadásokkal foglalkozó sorozatának a része. A sorozat további cikkei.

DNS-hamisítás (DNS-hamisítás)

DNS rendszer ( Domain név rendszer) átalakítja a domain nevet (pl. www.test.com) annak IP-címére (pl. 192.168.0.1) és fordítva. Ez a támadás azt a technológiát használja, hogy hamis válaszokat küldjön az áldozat DNS-lekérdezéseire. A támadás két fő módszeren alapul.

DNS-azonosító hamisítás (DNS-azonosító hamisítás)

A DNS-protokoll csomag fejléce egy azonosító mezőt tartalmaz a kérések és válaszok egyeztetésére. A DNS-azonosító hamisítás célja, hogy válaszát elküldje egy DNS-lekérdezésre, mielőtt a valódi DNS-kiszolgáló válaszolna. Ehhez meg kell jósolnia a kérésazonosítót. Helyileg ez egyszerűen a hálózati forgalom figyelésével történik. Ennek a feladatnak a távoli elvégzése azonban sokkal nehezebb. Különféle módszerek léteznek:

minden ellenőrzése elérhető értékeket azonosító mező. Nem túl praktikus, mivel a lehetséges értékek teljes száma 65535 (a mező mérete 16 bit);

több száz DNS-kérést küld a megfelelő sorrendben. Nyilvánvaló, hogy ez a módszer nem túl megbízható;

olyan szervert találni, amely kiszámítható azonosítókat generál (például 1-gyel növelve). Ez a fajta sebezhetőség a Bind and egyes verzióiban rejlik Windows rendszerek 9x.

Mindenesetre válaszolni kell a valódi DNS-kiszolgálónak. Ezt például úgy lehet elérni, hogy szolgáltatásmegtagadási támadást hajtanak végre a szerver ellen.

A sikeres támadás végrehajtásához a támadónak az attaquant.com zónában mérvadó DNS-kiszolgálót (ns.attaquant.com) kell irányítania. A cél DNS-kiszolgáló (ns.cible.com) állítólag kiszámíthatót generál azonosító számok(minden kéréssel 1-gyel növelve).

A támadás négy lépést igényel:

Ennek eredményeként a cél DNS-kiszolgáló gyorsítótára tartalmazza a támadónak szükséges egyezést, és a következő, www.spoofed.com címet kérő kliensek megkapják a támadó gépének címét. Tartalmazhatja a valódi webhely másolatát, amelynek segítségével a támadó bizalmas információkat lophat el.

DNS-gyorsítótár-mérgezés módosítása

A DNS-kiszolgálók gyorsítótárat használnak a korábbi lekérdezések időbeli eredményeinek tárolására. Ez azért történik, hogy elkerüljük az adott tartományok engedélyezett szervereihez intézett kérések folyamatos ismétlődését. A DNS-hamisítási támadás második változata a DNS-kiszolgáló gyorsítótárának megváltoztatása. Íme egy példa:

Ugyanazokat az adatokat használjuk, mint az előző példában. Íme a támadási lehetőség legfontosabb pontjai:

küldjön egy DNS-kérést a www.attaquant.com név feloldására a cible.com tartomány DNS-kiszolgálójának;

a cél DNS-kiszolgáló kérést küld a www.attaquant.com név feloldására a támadó DNS-kiszolgálójának;

A DNS-hamisítás egy egyszerű módszer a rendszer DNS-ének meghamisítására, egy DNS-névfeloldó blokkra, amely egy olyan gazdagéptől kapott hamis információkat használ, amely nem felelős az információkért. Minden dns csomagnak van egy 16 bites azonosítószáma, az id szám a dns csomag azon része, amely lehetővé teszi az 53-as porton átmenő dns csomagok azonosítását, és a kérés többször is előfordulhat. Az id az egyetlen módja annak, hogy különbséget tudjunk tenni az ezzel kapcsolatos különböző dns kérések között, amivel a dns szerverek megállapítják, hogy mi volt az eredeti kérés. BIND esetén ez a szám minden kérésnél 1 szinttel növekszik. A TCP seq id-hez hasonló támadást meg lehet tenni, bár ez nehezebb. Még ha a BIND nem is tudja gyorsítótárazni az elküldött információkat, a választ visszaküldi az eredeti gazdagépnek. Abban az esetben, ha az ircd PTR-t kér a hozzá csatlakozó gazdagépre válaszul, a válaszcsomag úgy fogalmazható meg, hogy tartalmazza További információ, amelyről az ircd belső gyorsítótárat végez. Ez a támadás root hozzáférést igényel a dns szerveren, amely az in-addr. arpa a dns információs blokkért felelős. Ezenkívül az ircd csak egy tartományt tud gyorsítótárazni. Van egy másik támadás, mivel az azonosító 16 bitből áll. A felhasználó iterálhat a A teljes idspace. A dns meghamisításához, mondjuk a DALNet "e-n, 65000 generált kérést kell küldenie az ns szervernek, amint a számítógép választ kap a kérésre, el kell olvasnia a csomagot, és a helyes azonosító lesz beleírva. Miután megkapta az azonosítót, meg kell találnia bármilyen "csomagot". teremtő eszköz" dns csomagot készíteni. Csak hamisítani kell a dns csomagokat, el kell küldeni az ns. dal. netre, és kap egy hamis TCP-kapcsolatot.

A probléma általános megfogalmazása Az Internet rohamos növekedése miatt a biztonság problémája információs források egyre fontosabbá válnak. Ha csatlakozik az internethez, rendszerét megtámadhatják. Vegye figyelembe a DNS munkáját. A szegmensen kívüli címzést IP-címek végzik, de a szerverekhez általában domain nevek segítségével lehet hozzáférni. Ezzel kapcsolatban egy rendszert hoztak létre a tartománynevek IP-címekké történő átalakítására (egyeztetésére) - DNS-kiszolgálókra (Domain Name System). Ez a rendszer felelős azért, hogy a nevéből megkeresse egy távoli gazdagép IP-címét. A DNS-rendszer működési elve a következő - egy távoli gazdagép speciális kérést küld a legközelebbi DNS-kiszolgáló IP-címére, amelyben jelzi annak a szervernek a nevét, amelynek IP-címét meg kell találni. A kérés beérkezésekor a DNS-kiszolgáló megkeresi az adatbázisában a kért tartománynevet. Ha a név megtalálható, a DNS-kiszolgáló válaszként jelzi a keresett IP-címet. Ha a kérésben megadott nevet a DNS-kiszolgáló nem találja a névadatbázisában, akkor a DNS-kérést elküldi a DNS-kiszolgáló valamelyik gyökér DNS-kiszolgálónak, és az ebben a bekezdésben leírt eljárást addig ismétli, amíg a név meg nem jelenik. megtalált. Tekintsünk egy hamis DNS-kiszolgáló általános sémáját: DNS-kérésre vár; DNS-kérés vétele, abból a szükséges információk kinyerése és a valódi DNS-szerver nevében (az IP-címről) hamis DNS-válasz továbbítása a hálózaton keresztül a kérelmező gazdagépnek, amely jelzi a hamis DNS-szerver IP-címét. ; csomag fogadása esetén a csomag IP-fejlécében a hamis DNS-szerver IP-címére változtatja a csomag IP-címét, és elküldi a csomagot a szervernek (azaz a hamis DNS-szerver együttműködik a szerverrel saját nevében); csomag fogadása esetén a csomag IP-fejlécében a hamis DNS-szerver IP-címére változtatja a csomag IP-címét, és elküldi a csomagot a gazdagépnek (a gazdagépnél a hamis DNS-szerver a valódi szerver ).

A támadás ezen változatának megvalósításához szükséges feltétel a DNS-kérés elfogása. Ez csak akkor lehetséges, ha a támadó vagy a fő forgalom útján, vagy a valódi DNS-kiszolgáló szegmensében tartózkodik. A támadó hálózaton belüli elhelyezkedésére vonatkozó ezen feltételek egyikének teljesítése megnehezíti az ilyen távoli támadások gyakorlati megvalósítását (a támadó nagy valószínűséggel nem fog tudni bejutni a DNS-kiszolgáló szegmensébe, és még inkább az inter -szegmens kommunikációs csatorna). Ha azonban ezek a feltételek teljesülnek, lehetőség van szegmensek közötti távoli támadás végrehajtására az interneten. Ennek a támadásnak az eredménye az IP-cím és az IP-cím közötti kötelező levelezés bevezetése domain név a DNS-kiszolgáló gyorsítótárába. Egy ilyen támadás sikeres végrehajtásának eredményeként az északi DNS minden felhasználója helytelen információkat kap a domain nevekről és az IP-címekről. Ez a támadás jellemző nagy mennyiség DNS-csomagok azonos tartománynévvel. Ennek oka, hogy ki kell választani néhány DNS-csereparamétert.

Ahogy a meglévő védelmi módszerek elemzése is mutatja, a támadások elleni védekezés a következő módszerekkel hajtható végre. A DNS átállásával TCP-re Az UDP-ről a TCP-re való átállás némileg lelassítja a rendszert. A TCP használatakor virtuális kapcsolat létrehozása szükséges, és azt is érdemes figyelembe venni, hogy a véghálózati operációs rendszer először DNS kérést küld az UDP protokoll segítségével, és ha speciális választ kap a DNS szervertől, akkor a hálózati operációs rendszer. DNS-kérést küld TCP használatával. A TCP protokoll használata bonyolítja a csomaghamisítási támadást, de lelassítja a munkát. A DNS-forgalom elemzésével. A támadások ellen forgalomelemzéssel lehet védekezni. A hamis IP-című hamis csomagokat folyamatosan küldik a DNS-kiszolgálónak. Ha a kapott hamis csomag megegyezik a kérés értékével, akkor a hamis IP-t igaznak fogadjuk el. Ha nincs csomagelfogás a szervertől, akkor a támadást nagyszámú azonos nevű DNS-csomag jellemzi. Ennek oka, hogy ki kell választani néhány DNS-csereparamétert. A DNS-forgalom elemzésekor figyelmen kívül hagyhatja az ilyen csomagokat, hogy elkerülje az IP-címhamisítást.

Következtetések A DNS-kiszolgáló működésének tanulmányozása után látható, hogy a jelenlegi verzió eléggé szuboptimális, és érzékeny a különféle támadásokra. A támadások ellen a DNS-forgalom elemzésével vagy a DNS UPD-ről TCP-re való átállításával lehet védekezni. Egyik módszer sem nyújt teljes védelmet a támadások ellen, mindkét módszer csak bonyolítja a támadás lehetőségét. Mindkét módszer további erőforrásokat igényel a szervertől. A DNS szerver TCP-re történő átvitele esetén a szerverek közötti csereidő is megnő, mivel az UDP protokoll gyorsabb, mint a TCP protokoll. A Ebben a pillanatban, a javasolt ellenintézkedési modellek a leghatékonyabbak, és a lehető legnagyobb biztonság elérése érdekében célszerű ezeket kombinálva alkalmazni.

Azt a taktikát, hogy bizalmas adatokhoz vagy bankszámlákhoz való hozzáférés érdekében megszemélyesítenek valakit, nemcsak a bűnözők alkalmazzák sikeresen a való világban, hanem kollégáik is a virtuális térben. Ezt a gyakorlatot hamisításnak nevezik – egy gyűjtőkategória, amely magában foglalja az IP-címhamisítás (üzenetek küldése a számítógépekre megbízható forrás IP-címének használatával), az e-mail-hamisítás (e-mail fejlécek hamisítása a valódi feladó elfedésére) és a DNS-hamisítás (módosítás) fogalmát. DNS-kiszolgáló beállításai a tartománynév átirányításához a behatolók IP-címére).

Hogyan működik a hamisítás?

A hamisítás egy másik személy megszemélyesítésének technikája, hogy megtévesszen egy hálózatot vagy egy adott felhasználót, hogy bizalmat keltsen az információforrás megbízhatóságában. Például az e-mail-hamisítást használó hackerek félrevezethetik a felhasználót a feladó hitelességével kapcsolatban, és hozzáférhetnek bizalmas adatokhoz. Vagy megpróbálhatnak IP- és DNS-lekérdezés-hamisítási technikákat használni, hogy meghamisítsák a felhasználó hálózatát, és valódinak álcázott átverési webhelyekre irányítsák át őket, aminek eredményeként a felhasználó számítógépe megfertőződik.

Hogyan lehet felismerni a hamisítást?

Az e-mail-hamisítás felismerésének legegyszerűbb módja, ha a felhasználó a közvetlen célpont. Bármilyen e-mail üzenet A felhasználótól személyes adatokat kérő e-mail hamisítási kísérlet lehet, különösen, ha hitelesítő adatokat kér. Ne feledje, egyetlen hiteles magán- vagy állami szervezet sem kér ilyen módon személyes adatokat. Ügyeljen a feladó címére, hogy megbizonyosodjon arról, hogy az hiteles. A felhasználó azonban szinte soha nem fogja megtudni, hogy IP- vagy DNS-hamisítás áldozata lett, pedig rendkívül előnyös lehet az a szokás, hogy nagyon odafigyel a részletekre, és megváltoztatja az oldal megszokott viselkedését. Ha az oldal vagy annak viselkedése a legcsekélyebb kétségeket is felkelti, jobb, ha megtagadja a tervezett művelet végrehajtását az adatok és pénzeszközök biztonsága érdekében.

Hogyan lehet kiküszöbölni a hamisítást?

A hamisítás abban áll, hogy elfedik a valódi forrást, ezért nem olyan egyszerű "kiküszöbölni". Csak a józan ész követésével és megfigyeléssel védheti meg magát alapszabályok biztonságos munkavégzés a hálózaton, például semmi esetre sem anélkül, hogy személyes adatait e-mailben felfedné. akkor is, ha a feladó hírneve nem kétséges.

Hogyan lehet megakadályozni a hamisítást

• Ne válaszoljon olyan üzenetekre, amelyekben személyes vagy hitelesítő adatainak elküldését kérik
• Gondosan ellenőrizze a feladó címét
• Ügyeljen az Ön által megszokott webhelyek furcsa viselkedésére vagy részleteire.

Védje meg magát a hamisítástól

A hamisítás elleni védelem egyrészt a biztonságos internetes böngészés alapelveinek betartásából állhat. Azonban sokkal többet tehet saját biztonsága érdekében. Először is rábízhatja számítógépe és a rajta tárolt adatok védelmét egy olyan erőteljes vírusirtó megoldásra, mint például az Avast által kifejlesztett, amely megbízhatóan véd a csaló oldalak ellen, és blokkolja a hálózatba behatolni próbáló vírusokat.

A hamisítás meglehetősen érdekes támadási módszer, amelyet sok biztonsági szakember figyelmen kívül hagy. És hiába, nagyon is hiába. Ebből a cikkből meg fogja érteni, mennyire megtévesztő lehet ez a sokszínű világ. Ne higgy a szemednek!

FIGYELEM

Minden információ csak tájékoztató jellegű. Sem a szerkesztők, sem a szerző nem vállal felelősséget a cikk anyagai által okozott esetleges károkért.

bevezető

Gyakran hallom a műhelyben dolgozó kollégáktól, hogy a hamisítást, mint támadási vektort nem is érdemes figyelembe venni. Biztosíthatlak azonban arról, hogy ha a hamisítási módszereket alaposan átgondolják, akkor sokra, nagyon sokra lehet őket használni. Ráadásul az ilyen támadások mértéke és eredményei néha katasztrofálisak. Elvégre, miután egyszer becsaptam a szemedet, tovább foglak becsapni. A legfontosabb érv amellett, hogy a hamis támadások valós veszélyt jelentenek, az, hogy egyetlen személy, beleértve a szakembereket sem, nincs immunis ellenük. Itt meg kell jegyezni, hogy a hamisítás önmagában nem tesz semmit: egy valódi hacker támadás végrehajtásához utólagos kihasználást (post-exploitation) kell használni. A legtöbb esetben az utókihasználás célja a szabványos átvétel, a privilégium eszkaláció, a tömeges elosztás. rosszindulatúés ennek következtében a személyes adatok és a banki rendszerek elektronikus digitális kulcsainak ellopása további pénzmosással. Ebben a cikkben először is arról szeretnék beszélni, hogy mik a hamisítási módszerek általában, másodszor pedig részletesen elmesélem néhány modern megközelítést. Természetesen minden információt csak abból a célból adunk át Önnek, hogy segítsen megvédeni magát az ilyen támadásoktól.

A hamisítás múltja és jelene

Kezdetben a "hamisítás" kifejezést hálózatbiztonsági kifejezésként használták, ami bizonyos adatok sikeres meghamisítását jelenti egy adott hálózati erőforráshoz való jogosulatlan hozzáférés érdekében. Idővel ezt a kifejezést az információbiztonság más területein is használni kezdték, bár az úgynevezett old school specialisták többsége ma is csak a hálózati támadások típusának tisztázására használja a „hamisítás” szót.

Az első IDN klónok

Az IDN homográfokat használó támadást először 2001-ben írta le Jevgenyij Gabrilovics és Alex Gontmakher, az izraeli Technion Institute of Technology munkatársa. A sikeres támadás első ismert esete ez a módszer, 2005-ben került nyilvánosságra a ShmooCon hackerkonferencián. A hackereknek sikerült regisztrálniuk egy hamis paypal.com domaint (punycode-ban xn--pypal-4ve.com), ahol az első a betű cirill. A Slashdot.org oldalon közzétett bejegyzés felhívta a nyilvánosság figyelmét a problémára, ami után számos domain böngészője és rendszergazdája felső szint ellenintézkedéseket dolgozott ki és hajtott végre.

Tehát, amikor a hálózat még gyerekcipőben járt, a programozók és fejlesztők erőfeszítéseinek nagy része elsősorban a hálózati protokollok algoritmusainak optimalizálására irányult. A biztonság nem volt olyan kritikus, mint manapság, és ahogy ez gyakran megesik, nagyon kevés figyelmet kapott. Ennek eredményeként banális és alapvető hibákat kapunk hálózati protokollok, amelyek a különféle javítások ellenére ma is léteznek (mert logikai protokollhibát egyetlen patch sem tud javítani). Itt totális változtatásokra van szükség, amelyeket a Hálózat a meglévő reprezentációban egyszerűen nem fog túlélni. Például a „DNS-támadások: tegnap, ma, holnap” cikkben (][ #5 2012) Beszéltem a DNS-rendszerek katasztrofális alapvető sebezhetőségeiről - az UDP protokoll használatáról (amely a TCP / IP-vel ellentétben nem biztonságos, mert nincs beépített mechanizmusa a hamisítás megakadályozására) és a helyi gyorsítótár.

Vektorok

A céloktól és célkitűzésektől függően a hamisítási vektorok helyi (lokális) és hálózati (nettó) vektorokra oszthatók. Ebben a cikkben ezeket fogjuk figyelembe venni. Lokális vektor esetén magát az áldozat számítógépére telepített operációs rendszert, valamint bizonyos típusú alkalmazásokat, amelyek a helyzettől függően gyakran további elemzést igényelnek, leggyakrabban a helyi vektorban a támadások tárgyának tekintik. A hálózati vektorban a támadások tárgyai éppen ellenkezőleg, elvontabbak. A főbbek az összetevők információs rendszerek helyi és globális hálózatok egyaránt képviselik. Fontolja meg a hamisítás fő típusait.

1. TCP/IP és UDP hamisítás – szállítási réteg támadásai. A TCP és UDP protokollok szállítási megvalósításának alapvető hibái miatt a következő típusú támadások lehetségesek:
   • IP-hamisítás – az ötlet az IP-cím meghamisítása az IP-csomag törzsében található forrásmező értékének megváltoztatásával. A támadó címének megváltoztatására szolgál, például annak érdekében, hogy válaszcsomagot küldjön a kívánt címre;
   • Az ARP hamisítás egy támadási technika az Ethernet hálózatokban, amely lehetővé teszi a forgalom elfogását a gazdagépek között. Az ARP protokoll használata alapján;
   • DNS-gyorsítótár Poisoning - a szerver DNS-gyorsítótárának mérgezése;
   • NetBIOS/NBNS hamisítás – a Microsoft hálózatokon belüli helyi gépnevek feloldásának sajátosságai alapján.
2. Hivatkozó hamisítás – hivatkozó helyettesítése.
3. Fájlmegosztó hálózatok mérgezése – adathalászat a fájlmegosztó hálózatokban.
4. Hívóazonosító hamisítás – a hívó telefonszámának hamisítása VoIP hálózatokban
5. E-mail cím hamisítás – a feladó e-mail címének meghamisítása.
6. GPS-hamisítás – műholdról érkező csomaghamisítás a GPS-eszköz összetévesztésére.
7. Hangposta-hamisítás – számhamisítás hangposta az áldozat jelszavainak adathalászata érdekében.
8. Az SMS-hamisítás az SMS-küldőszámok helyettesítésén alapuló hamisítási módszer.

A legújabb fejlemények a hamisítás területén

A legelterjedtebb technikák már elég régiek és levertek. Globális hálózat szó szerint hemzsegnek a működésük lehetséges változatairól és az ellenük való védekezésről szóló információkban. Ma a helyi vektoroktól a hálózati vektorokig a legújabb hamisítási technikákat tekintjük meg, amelyek csak lendületet kapnak. Szóval minden rendben van.

Flamer és botrányos Microsoft-tanúsítvány-hamisítás

Microsoft biztonsági figyelmeztetés (2718704) – A nem engedélyezett digitális tanúsítványok lehetővé tehetik a hamisítást. Meglehetősen érdekes dolgot találtak a hírhedt Flamer kémrobot eseteiben: a kártevő összetevőinek visszafejtésének eredményei alapján találtak egy kódrészt, amely felelős a hamisító támadások végrehajtásáért, például az adathalászatért. A nagyvállalatok eredeti tanúsítványainak kiadását szimulálva a bot MITM támadást hajtott végre, melynek célja a felhasználók személyes adatainak lehallgatása volt. vállalati hálózat majd elküldi a fejlesztők szerverére. Ez a hamisítási incidens a 2718704. számú biztonsági figyelmeztetést kapta, magas súlyossági besorolással.

OS hamisítás

1. Extension Spoofing – fájlkiterjesztésű hamisítás

Egy technika, amely egy kínai kutató fejlesztéseinek köszönhetően látta meg a fényt információ biztonság Zhitao Zhou. Ennek a technikának az a lényege, hogy a fájlnévben a 0x202E (RLO) vezérlőkaraktert használjuk, amely lehetővé teszi a karakterek sorrendjének megváltoztatását a fájlnév megjelenítése során. Windows Intéző(explorer.exe) Íme egy példa ennek az egyszerű technikának a használatára:

Szuper zene feltöltve: 15:00.SCR

A 3pm.SCR fájl nem más, mint egy futtatható fájl, amely bizonyos funkciókat valósít meg (Trójai. - A szerkesztő megjegyzése). Ha a 0x202E vezérlőkarakter a "3pm.SRC" fájlnév elejébe kerül (lásd 1. ábra), akkor a karakterek sorrendje megfordul, és a fájlnév megjelenik az Intézőben Windows már másképp:

Szuper zene feltöltötte RCS.mp3

A fájl ikonjának megváltoztatásához használjon bármilyen erőforrás-szerkesztőt (Restorator, erőforrás-hacker). Ezt a technikát olyan óvatlan felhasználók számára fejlesztették ki, akik összetéveszthetik ezt a fájlt egy dallal, és dupla kattintással megnyitják, és ezzel rosszindulatú programot indítanak el. Sajnos ez a technika nem működik Unicode-szerű Explorer programokban. A következő egy C# kód, amely a 0x202E vezérlőkarakter elé fűzésével módosítja a fájl nevét:

Public Sub U_202E(fájl As String, kiterjesztése Karakterlánc) Dim d As Integer = fájl.Hossz - 4 Dim u As Char = ChrW(823) Dim t As Char() = kiterjesztés.ToCharArray() Array.Reverse(t) Dim dest As String = file.Substring(0, d) & u & New String(t) & file.Substring(d) System.IO.File.Move(file, dest) End Sub

2. Fájlnév-hamisítás – fájlnév-klónozás

Ezt a technikát Yosuke Hasegawa japán kutató mutatta be a Security-Momiji konferencián. Nulla hosszúságú karakterek (ZERO WIDTH Characters) használatán alapul, amelyek semmilyen módon nem befolyásolják a fájlnév megjelenítését (lásd 2. ábra). Alább látható az összes szimbólum ebből a kategóriából:

U+200B (NULLA SZÉLESSÉGŰ KÖZ) - U+200C (NULLA SZÉLESSÉGŰ NEM CSATLAKOZÓ) - U+200D (NULLA SZÉLESSÉGŰ CSATLAKOZÓ) - U+FEFF (NULLA SZÉLESSÉGŰ KÖR) - U+202A (BAL-JOBBRA beágyazás)

Ezenkívül lehetőség van UTF-kódolás használatára a meglévő fájlok nevének meghamisítására. Ezt a technikát gyakran használják a modern rosszindulatú programok. A látómezőmben olyan rosszindulatú programok mintáira bukkantam, amelyek ilyen támadásokat hajtottak végre. Például a TrojanDropper:Win32/Vundo.L kártevő (a vk.com, vkontakte.ru, *odnoklassniki.ru webhelyek adathalászatára használják) pontosan ezt a technikát használja.

A %SystemRoot%\system32\drivers\etc\hosts fájlt a „clone” hosts fájlba másolta az „o” UTF karakterrel (0x043E), majd az eredeti hosts fájl tulajdonság rejtett fájlés annak tartalmát felülírták a következő bejegyzésekkel:

92.38.66.111 odnoklassniki.ru 92.38.66.111 vk.com 92.38.66.111 vkontakte.ru

Webböngésző-hamisítás

1. Állapotsor / linkhamisítás

Ennek a támadásnak az az elve, hogy dinamikusan módosítsa egy hiperszöveges hivatkozás címét ( ). Például az áldozat egy hivatkozás fölé viszi az egérkurzort, majd a böngésző állapotsorában megjelenik a cím, amelyre a hivatkozás vezet. A linkre kattintás után a ravasz JavaScript kód lecseréli az átmeneti címet a dinamikában. Egy kutató barátom, akit iamjuza becenéven ismernek, a PoC tanulmányozásával és fejlesztésével foglalkozott, hogy ezt a technikát a gyakorlatban is kiaknázza, de fejlesztései nem voltak univerzálisak, és csak meghatározott böngészőkön dolgoztak. Egy hasonló vizsgálat elvégzése után jobb eredményeket értem el, mivel el tudtam érni ennek a meghamisított technikának univerzális kiaknázását minden böngészőmotor számára. Proof-of-Concept közzétéve a 1337day.com oldalon. A technikai megvalósítás így néz ki:

Method this.href=" :
Módszer location.replace(""):
Methon location.assign("") :
Módszer window.location.assign("") :
Módszer window.location.replace("") :
Módszer window.location.href="" :

A fenti HTML kód dinamikusan lecseréli a megadott címet ( www.google.com) a webhely címére ][ () az onclick="" JavaScript eseményen alapuló különféle módszerekkel.

2. URL Bar Spoofing - hivatkozások helyettesítése a böngésző címsorában

Első pillantásra ez lehetetlennek tűnik, de hidd el - ez csak a találékonyság fejlesztésének feladata. Vegyük fontolóra a CVE-2011-1452 biztonsági rést, amely meghamisítja a címsort a legyőzhetetlen Google Chrome 11.0.696.57-es verzióig:

kattints ide

• megnyílik egy új ablak (spoofing.php) az "a" változóhoz való hozzárendeléssel;
• 4500 mikroszekundum (4,5 másodperc) elteltével (window.setTimeout függvény) visszakerül az áttéréstörténet, amelyért az "a" változóhoz rendelt a.history.back() függvény a felelős;
• 5000 mikromásodperc után az "a" változó új helyre kerül a spoofing.php címre, amely ugyanabban a könyvtárban található.

Így a címsor átíródik egy új URL-re a "szülő" első oldalának kontextusában.

A következő biztonsági rés a CVE-2010-4045 (Opera<= 10.62):

A koncepció bizonyítéka – OPERA High Location Bar hamisítás

A képpel () ábrázolt gombra kattintva az oldal automatikusan újratöltődik (location.reload ()), miközben lehetőség van a címsor felülírására az aktuális lappal összefüggésben.

Néhány fizetési/banki webhely szerepel itt.

1. start poc kattintson a gombra a poc futtatásához.Demó

"); myWindow.focus(); return false; }

Ha a Demo gombra kattint, mind a változó, mind a myWindow objektum olyan függvényértékre lesz beállítva, amely 200 × 100-as méretben nyitja meg az apple.com webhelyet, amely a Safari böngészőbővítmény mobileszközökhöz hatóköre. Ezután a myWindow további HTML-kódot (JavaScript/VB/etc) szúr be a document.write() függvény segítségével. Az utolsó lépés az, hogy a Safari böngésző fókuszát a myWindow objektumra állítsa.

Nincs semmi bonyolult a címhamisításban a böngésző címsorában, csak az a lényeg, hogy a találékonyságodat helyesen kell alkalmazni, ahol szükséges ;-).

3. Forráskód hamisítás – az oldaltartalom és a forráskód helyettesítése

A működés az általunk már ismert UTF-8 0x202E (RLO) vezérlőkarakternek köszönhetően valósul meg. A módszert a Virginia Tech hallgatója, John Kurlak fedezte fel. A technika bemutatására a History.replaceState() JavaScript függvényt használta, amely lehetővé teszi az oldal címének dinamikus megváltoztatását a címsorban. Proof-of-Concept (source.html):

Meg tudod nézni a forrásomat a Chrome-ból?

A source.html[%20%2E] tartalma megteheti, de nem olyan könnyen...

Ennek a módszernek az a lényege, hogy az oldal forráskódjának tartalmát a trükk segítségével lecseréljük a fájl végén található RLO vezérlőkarakterre (lásd 4. ábra). Amikor megpróbáljuk megnézni a forrás.html oldal forráskódját, a második forrás.html%20%2E fájl tartalmát kapjuk. Meglehetősen érdekes és egzotikus hamisítási módszer, nagyon furcsa haszonnal, ahogy első pillantásra tűnhet. A legérdekesebb - ez a szkript lehetővé teszi az oldal forráskódjának "elrejtését", nem csak a cím kontextusában, hanem a gazdagép nevének kontextusában is.

4. IDN klónok – a domain nevek megjelenítésének külső hasonlóságán alapuló technika

Nincs itt semmi innovatív, a technikát a DNS-rendszer kezdete óta gyakorolják, de az IDN (Internationalized Domain Names - nemzetköziesített tartománynevek) használata tette lehetővé a domain nevek szinte megkülönböztethetetlen "klónjainak" létrehozását. . Az adathalász támadás technikai megvalósítása a következő:

1. Olyan domain név kerül bejegyzésre, amely írásmódjában a lehető legközelebb áll a támadott tartományhoz. Általában a betűk és a számok hasonlóságát bizonyos betűtípusokban (az l betű és az 1 szám, az O betű és a 0 szám), a betűkombinációk (rn és m, cl és d) hasonlóságát használják.
2. Létrejön az eredeti webhely hamisítványa, amely a létrehozott „klónra” kerül.
3. Az adathalász tartományra mutató hivatkozásokat terjesztik (levélszemét, spam a közösségi hálózatokban, olyan népszerű szolgáltatásokon keresztül, mint a Twitter, iframe-ek használata, ajtónyílások).
4. Kiderül, hogy profitál :).

A fő különbség a domain nevek hasonlóságán alapuló támadás és a hamis weboldalakat használó adathalászat egyéb típusai között az, hogy nem igényel beavatkozást a hálózati protokollokba: technikai szempontból a hamis domain jogos.

Az IDN támadások elleni védekezési módszereket 2005 közepén kezdték bevezetni, amikor a domain név regisztrátorok olyan megállapodásokat fogadtak el, amelyek korlátozták bármely IDN domain regisztrálását. Tehát az international domain.org a megengedett karakterek számát a kiterjesztett latin egyik vagy másik részhalmazára korlátozza. De néhány gátlástalan regisztrátornak és találékonyságának köszönhetően még ma is minden lehetőség megvan az adathalász domain regisztrálására.

A homográfiai fenyegetés elleni legradikálisabb védekezés az lenne, ha teljes mértékben megtagadják a kiállított IDN-ek dekódolását. Ekkor az álnév mindig "xn"-nel kezdődne, és olvashatatlan karaktersorozattal végződne, ami élesen megkülönböztetné az eredetitől. Sajnos ez a lehetőség az IDN szinte minden előnyét tagadja.

Az ügyféloldali IDN-hamisítás elleni fő védelem a böngésző állapotsora. Ha az egérmutatót egy hivatkozás fölé viszi az állapotsoron, megjelenik egy IDN-tartomány Punycode megfelelője, ami azonnal lehetséges adathalászatra utal. De ez sem csodaszer, mindent el lehet hamisítani, ha használod a találékonyságodat ;-). Tekintse meg az univerzális exploitomat az összes böngészőmotorhoz.

Következtetés

A hamisításra mindig is volt és lesz kereslet, mert ez az alapja és garanciája a sokirányú sikeres támadásoknak. Remélem, helyes következtetéseket vont le. Legyen óvatos az interneten.