сегодня NOD32 выдал Обнаружена атака DNS cache poisoning IP
DNS Cache Poisoning — метод проведения атаки типа DNS Spoofing, заключающийся в том, чтобы изменить кеш DNS-сервера во время его обновления.
Как правило DNS-серверы хранят результаты предыдущих запросов в течение некоторого времени в кеше. Это делается для того, чтобы избежать частых запросов к вышестоящим DNS-серверам. Тем не менее кеш обычно относительно небольшого размера, что не позволяет полностью избежать запросов к другим DNS-серверам. Также результаты запросов в кеше могут устаревать. Из-за этого кеш приходится обновлять.
Предположим, что злоумышленнику потребовалось изменить кеш DNS-сервера ns.example.com, привязав имя example.org к IP-адресу 123.234.123.234. Пусть сервер ns.example.com обновляет свой кеш по серверу ns.example.net. Атака проводится следующим образом:
1. Злоумышленник посылает серверу ns.example.com запрос на разрешение имени example.org.
2. Сервер ns.example.com посылает вышестоящему серверу ns.example.net запрос на разрешение имени example.org(предполагается, что запись example.org в кеше ns.example.com не существует или требует обновления — в противном случае атака не удастся).
3. Злоумышленник посылает серверу ns.example.com ответ от имени сервера ns.example.net(см. IP Spoofing) с сообщением о том, что имени example.org соответствует IP-адрес 123.234.123.234. Злоумышленник должен сделать это раньше, чем это сделает ns.example.net.
Таким образом сервер ns.example.com получит фальсифицированный ответ и запишет его в свой кеш. После этого он в течение какого-то времени будет выдавать этот ответ всем машинам, запросившим у него разрешение имени example.org.
рассказать друзьям похожие новости
