DNS REBINDING: Nedir, Nasıl Önlem Alınır?

Günümüzde pek çok güvenlik uzmanı, bir DNS Yeniden Bağlama saldırısı uygulama kavramıyla ilgilenmektedir. Ancak bu konuyla ilgili mevcut incelemelerin çoğu, çeşitli ayrıntılara çok fazla dalmakta ve sorunun özünü büyük miktarda önemli, ancak yine de ikincil bilgilerde çözmektedir. İşte DNS yeniden bağlama saldırısı uygulama kavramının anlaşılması kolay bir açıklaması ve buna karşı korumanın ana yöntemlerinin bir listesi, sadece genel bir fikir edinmek isteyenlerin ilgisini çekecektir. sorun.

Siber suçlular, DNS yeniden bağlama saldırıları gerçekleştirerek, kurbanın güvenlik duvarının arkasında bulunan yerel ağlardan potansiyel olarak savunmasız cihazlar da dahil olmak üzere çeşitli sistemlere komutlar gönderebilir. Bu, bilinen herhangi bir yolla (sosyal mühendislik, kimlik avı, siteler arası komut dosyası oluşturma vb.) etkilenen varsayımsal bir kurban, bu siber suçluların çeşitli kaynakları çekmek için istek gönderebilecekleri saldırganlar tarafından kontrol edilen bir etki alanına ulaştığında gerçekleşir. Bu nedenle, örneğin, kurbanlar kötü amaçlı JavaScript kodu içeren bir web sitesine yönlendirilebilir ve bu kod daha sonra bilgisayarlarındaki tarayıcılarında, yani zaten bir güvenlik duvarının arkasında başlatılır ve bunun sonucunda ortaya çıkan tüm sonuçlarla birlikte gelir.

DNS Yeniden Bağlama Saldırı Planı

İşte nasıl çalıştığı:

1. Bir etki alanı kaydettirirsiniz ve bu etki alanına hizmet eden DNS sunucusunun kontrolünü alırsınız.
2. Birini kötü niyetli etki alanınıza girmesi için cezbetmeyi başarırsanız, DNS sunucunuz hemen host.domain için web sunucusu IP adresini döndürür (diyelim ki 1.3.4), kötü amaçlı kodu kurbanınıza iletir. Bu, örneğin, kurbanı JavaScript kodu içeren bir web sitesine yönlendirerek başarılabilir.
3. DNS sunucunuzu, yanıtları çok kısa bir TTL içerecek şekilde yapılandırırsanız (Yaşama süresi, yaşama süresi - DNS sorgularını önbelleğe alırken verilerin alaka düzeyini belirleyen bir parametre) - örneğin, 10 saniye - o zaman host.domain için IP adresinin güncel olup olmadığını kontrol etmek için kurbanın sistemini sürekli olarak alanınızla iletişim kurmaya zorlayın, böylece yanıtı önbelleğe almaktan kaçının.
4. Kurbanınızın kendi iç ağında belirli bir tür ekipmana (örneğin, belirli bir yönlendirici veya IoT cihazı) sahip olduğunu biliyorsanız (veya şüpheleniyorsanız), onlarla aynı ağda olup olmadığınızı kontrol edebilirsiniz. "https://host.domain/set-dns-server? Sunucu=6.7.8.9".
5. Bu istek ilk gönderildiğinde, kurbana host.domain için gönderdiğiniz orijinal IP adresi olduğundan, 1.2.3.4 IP adresine yönlendirilecektir.
6. Ancak kurbanın tarayıcısı etki alanınıza yeni bir DNS isteği ile ulaştığında (10 saniye sonra, çünkü bu sizin belirlediğiniz TTL değeridir), yanıtınız etki alanınız için sözde yeni, güncel IP adresi olacaktır - örneğin, " 192.168.1.1", - kurbanın tarayıcısını "https://host.domain/set-dns-server?server=7.8.9" isteklerini zaten 192.168.1.1 IP adresine göndermeye zorlar!
7. Hedeflediğiniz varsayımsal yönlendirici gerçekten varsa ve kurbanınızın sistemini göndermeye zorladığınız bir sorguya karşı savunmasızsa (örneğin, söz konusu yönlendirici varsayılan kimlik bilgilerini kullanıyor veya hiç yok), bu, değerin güncellenmesini zorlar. Bu yönlendiricinin bağlı olduğu DNS sunucusunun bir saldırgan tarafından kontrol edilenlere, büyük olasılıkla siz olacaksınız.
8. Doğru IP adresini belirlemek ve/veya kurbanın ağındaki farklı cihazlara farklı komutlar göndermek için bu istekleri gerektiği kadar tekrarlayın.

Prensipte, DNS Rebinding saldırısı kavramı basittir: kurbanlarınız bir istekle kontrol ettiğiniz bir siteye erişir, alan adını belirli bir IP adresiyle eşleştirmek için kısa bir TTL parametre değeri tanımlarsınız, kurbanların tarayıcılarını çalıştırmaya zorlarsınız. Böylece kötü amaçlı istekler göndermek için bir aracı haline gelen JavaScript kodu ve ardından bir sonraki DNS isteği aracılığıyla, tarafınızdaki etki alanının IP adresini değiştirin, bu da kurbanı yerel ağ içinde zaten belirttiğiniz IP adreslerine istek göndermeye zorlar. , yani zaten onları koruyan güvenlik duvarının arkasında.

DNS Rebinding saldırısını bu kadar etkili ve tehlikeli yapan şey, İnternet'in temel yapısındaki ve yakın gelecekte kesinlikle değişmeyecek olan iki ana özelliği kullanmasıdır:

1. Kullanıcı tarayıcılarının varsayılan olarak JavaScript çalıştırması (BeEF'in hook.js komut dosyasını çalıştırmak gibi potansiyel olarak tehlikeli etkinlikler dahil) ve...
2. Bir etki alanı adının belirli bir IP adresine bağlanmasını sürekli olarak değiştirmenize olanak tanıyan DNS sorgularına yanıtlar için TTL parametresi için düşük değerler ayarlama yeteneği.
   
   

DNS Yeniden Birleştirme Saldırısına Karşı Savunma: Temel Bilgiler

DNS yeniden bağlama saldırıları, World Wide Web'in işleyişinin temel bileşenlerine dayandığından, bunlara karşı savunma yapmak önemsiz bir mesele değildir. Bilgi güvenliği uzmanları için ek bir baş ağrısı, belirli güvenlik açıkları keşfedilmiş ve cihazlarında ayrıntılı olarak açıklanmış olsa bile, birçok gadget üreticisinin donanım yazılımı güncellemelerini yayınlamak için acele etmemesi gerçeğidir. Ve IoT çağına geçiş, sorunu daha da şiddetlendiriyor.

Genellikle, DNS yeniden bağlama saldırılarına karşı koruma aşağıdaki temel ilkelere dayanır:

1. JavaScript kodunu çalıştırma kısıtlaması (böylece saldırgan kurbanın tarayıcısını istek göndermeye zorlayamaz).
2. IP adreslerini alan adlarına bağlama (saldırganın bunları değiştirmesini önlemek için).
3. Belirli bir değerin altındaki DNS sorgularına verilen yanıtlar için TTL ayarlarını kabul etmeyin (bu, bir saldırganın bir etki alanı adı için IP adresinin değerini değiştirme yeteneğini önemli ölçüde sınırlar).
4. IP adresleri dahili ağa işaret eden DNS isteklerine (harici etki alanları için) verilen yanıtları kabul etmeyin (siber suçluların dahili ağa komut gönderme yeteneğini sınırlamak için).

Güvenlik lehine herhangi bir kısıtlama, kullanıcılarınız için hizmetlerin işleyişini kaçınılmaz olarak olumsuz yönde etkileyeceğinden, yukarıdaki yöntemlerden herhangi birinin sizin için evrensel bir hap olmayacağı açıktır. Bu nedenle bilgi güvenliği uzmanları, ağınızı korumaya yönelik kapsamlı bir yaklaşıma odaklanmanızı önerir: ağınızda kullanılan cihazlar, bunların bilinen güvenlik açıkları ve yüklenen yeni güncellemelerin kullanılabilirliği hakkında düzenli olarak bilgi toplamaktan sızma testi yapmaya kadar. Ayrıca, siber davetsiz misafirlerin ağınızdaki herhangi bir cihazda varsayılan olarak kullanılan kimlik bilgilerini ve bağlantı noktalarını (mümkünse, tabii ki) hatasız değiştirmeleri için ağınıza sızma görevini büyük ölçüde karmaşıklaştıracaktır. Ve tabi ki,

Koruma altında kalın!