Внедрение в сеть Internet ложного сервера путем перехвата DNS -запроса или создания направленного "шторма" ложных DNS -ответов на атакуемый DNS -сервер

Из рассмотренной в п. 4.3 схемы удаленного DNS -поиска следует, что в том случае, если указанное в запросе имя DNS -сервер не обнаружил в своей базе имен, то запрос отсылается сервером на один из корневых DNS -серверов, адреса которых содержатся в файле настроек сервера root.cache.

Итак, в случае, если DNS -сервер не имеет сведений о запрашиваемом хосте, то он сам, пересылая запрос далее, является инициатором удаленного DNS -поиска. Поэтому ничто не мешает атакующему, действуя описанными в предыдущих пунктах методами (п. 4.3.1- 4.3.2), перенести свой удар непосредственно на DNS -сервер. В качестве цели атаки теперь будет выступать не хост, а DNS -сервер и ложные DNS -ответы будут направляться атакующим от имени корневого DNS -сервера на атакуемый DNS -сервер.

При этом важно учитывать следующую особенность работы DNS -сервера. Для ускорения работы каждый DNS -сервер кэширует в области памяти свою таблицу соответствия имен и IP-адресов хостов. В том числе в кэш заносится динамически изменяемая информация об именах и IP-адресах хостов, найденных в процессе функционирования DNS -сервера, а именно, если DNS -сервер, получив запрос, не находит у себя в кэш-таблице соответствующей записи, он пересылает ответ на следующий сервер и, получив ответ, заносит найденные сведения в кэш-таблицу в память. Таким образом, при получении следующего запроса DNS -серверу уже не требуется вести удаленный поиск, так как необходимые сведения уже находятся у него в кэш-таблице.

Из анализа только что подробно описанной схемы удаленного DNS -поиска становится очевидно, что в том случае, если в ответ на запрос от DNS -сервера атакующий направит ложный DNS -ответ (или в случае "шторма" ложных ответов будет вести их постоянную передачу), то в кэш-таблице сервера появится соответствующая запись с ложными сведениями и в дальнейшем все хосты, обратившиеся к данному DNS -серверу, будут дезинформированы, и при обращении к хосту, маршрут к которому атакующий решил изменить, связь с ним будет осуществляться через хост атакующего по схеме "Ложный объект РВС"! И, что хуже всего, с течением времени эта ложная информация, попавшая в кэш DNS -сервера, будет распространяться на соседние DNS -серверы высших уровней, а, следовательно, все больше хостов в Internet будут дезинформированы и атакованы!

Очевидно, что в том случае, если атакующий не может перехватить DNS -запрос от DNS -сервера, то для реализации атаки ему необходим "шторм" ложных DNS -ответов, направленный на DNS -сервер. При этом возникает следующая проблема, отличная от проблемы подбора портов в случае атаки, направленной на хост. Как уже отмечалось ранее, DNS -сервер, посылая запрос на другой DNS -сервер, идентифицирует этот запрос двухбайтовым значением (ID). Это значение увеличивается на единицу с каждым передаваемым запросом. Узнать атакующему это текущее значение идентификатора DNS -запроса не представляется возможным. Поэтому предложить что-либо, кроме перебора 216 возможных значений ID, достаточно сложно. Зато исчезает проблема перебора портов, так как все DNS -запросы передаются DNS -сервером на 53 порт.

Следующая проблема, являющаяся условием осуществления этой удаленной атаки на DNS -сервер при направленном "шторме" ложных DNS -ответов, состоит в том, что атака будет иметь успех только в случае, если DNS -сервер пошлет запрос на поиск имени, которое содержится в ложном DNS -ответе. DNS -сервер посылает этот столь необходимый и желанный для атакующего запрос в том и только том случае, когда на него приходит DNS -запрос от какого-либо хоста на поиск данного имени и этого имени не оказывается в кэш-таблице DNS -сервера. В принципе, этот запрос может возникнуть когда угодно, и атакующему придется ждать результатов атаки неопределенное время. Однако, ничто не мешает атакующему, не дожидаясь никого, самому послать на атакуемый DNS -сервер подобный DNS -запрос и спровоцировать DNS -сервер на поиск указанного в запросе имени! Тогда эта атака с большой вероятностью будет иметь успех практически сразу же после начала ее осуществления!

Для примера вспомним недавний скандал (28 октября 1996 года) с одним из московских провайдеров Internet - компанией РОСНЕТ, когда пользователи данного провайдера при обращении к обычному информационному WWW-серверу попадали, как было сказано в телевизионном репортаже, WWW-сервер "сомнительного" содержания (наверное, www.playboy.com). В связи с абсолютным непониманием случившегося как журналистами (их можно понять - они не специалисты в этом вопросе), так и теми, кто проводил пресс-конференцию (специалистов к общению с прессой, наверное, просто не допустили) информационные сообщения о данном событии были настолько убоги, что понять, что случилось, было толком невозможно. Тем не менее, этот инцидент вполне укладывается в только что описанную схему удаленной атаки на DNS -сервер. С одним исключением: вместо адреса хоста атакующего в кэш-таблицу DNS -сервера был занесен IP-адрес хоста www.playboy.com.

Однако, видимо, большинство российских кракеров еще не доросли до столь утонченных методов сетевого взлома, как атака на DNS или любая другая атака из данной главы. После того, как был написан предыдущий абзац, нам довелось ознакомиться с интервью, которое якобы дал кракер, осуществивший этот взлом. Из него следовало, что атака использовала одну из известных "дыр" в WWW-сервере РОСНЕТа. Это и позволило атакующему подменить одну ссылку на другую. Осуществление атак такого типа является по сути тривиальным и не требует от взломщика практически никакой квалификации (подчеркнем - именно осуществление; совершенно другое дело - нахождение этой "дыры"). Высокая квалификация необходима именно для поиска той самой уязвимости, используя которую можно взломать систему. Но, по глубокому убеждению авторов, обнаруживший уязвимость и осуществивший на ее базе взлом, скорее всего будутразными лицами, так как именно высокая квалификация специалиста, обнаружившего "дыру", не позволит ему причинить ущерб простым пользователям. (Р. Т. Моррис не был исключением. Просто его червь из-за ошибки в коде вышел из-под контроля, и поэтому пользователям сети был нанесен определенный ущерб.)

Рис. 4.6.1. Внедрение в Internet ложного сервера путем перехвата DNS -запроса от DNS -сервера.

Рис. 4.6.1.1. Фаза ожидания атакующим DNS -запроса от DNS -сервера (для ускорения атакующий генерирует необходимый DNS -запрос).

Рис. 4.6.1.2. Фаза передачи атакующим ложного DNS -ответа на DNS -сервер 1.

Рис. 4.6.2. Внедрение в Internet ложного сервера путем создания направленного "шторма" ложных DNS -ответов на атакуемый DNS -сервер.

Рис. 4.6.2.1. Атакующий создает направленный "шторм" ложных DNS -ответов от имени одного из корневых DNS -серверов и при этом провоцирует атакуемый DNS -сервер, посылая DNS -запрос.

Рис. 4.6.2.2. DNS -сервер передает DNS -запрос на корневой DNS -сервер и немедленно получает ложный DNS -ответ от атакующего.

В завершение хотелось бы снова вернуться к службе DNS и сказать, что, как следует из предыдущих пунктов, использование в сети Internet службы удаленного поиска DNS позволяет атакующему организовать в Internet удаленную атаку на любой хост, пользующийся услугами данной службы, и может пробить серьезную брешь в безопасности этой и так отнюдь не безопасной глобальной сети. Напомню, что, как указывал S. M. Bellovin в ставшей почти классической работе [14]: "A combined attack on the domain system and the routing mechanisms can be catastrophic "("Комбинация атаки на доменную систему и механизмы маршрутизации может привести к катастрофе").