Источники уязвимости

Основная информация о домене - а именно, на сервере с каким цифровым IP-адресом искать ресурс с заданным символьным именем, — размещается на первичном DNS-сервере. Эта информация может быть искажена, если злоумышленник получит доступ к первичному серверу. Некоторые системы по протоколу динамических обновлений периодически обновляют информацию о соответствии своего имени своему IP-адресу, и злоумышленник может послать запрос на динамическое изменение информации о домене от имени системы-жертвы.

Первичный сервер периодически пересылает копию данных о домене вторичному DNS-серверу. При доступе к каналу связи между первичным и вторичным сервером злоумышленник может исказить информацию в пути. При доступе к файлам вторичного сервера информация может быть изменена и там, а первичный сервер после этого может быть выведен из строя, например, DОS-атакой.

Как правило, интернет-провайдеры имеют свои кэширующие сервера DNS, которые используются для обслуживания запросов клиентов провайдера. Именно адреса таких серверов обычно и выдаются пользователям в сетевых настройках как адреса DNS-серверов. Отравление кэширующего сервера (cache poison attack) — самый популярный вид атак на DNS. В результате атаки в кэше сервера провайдера или локальной сети компании сохраняется искаженная информация о соответствии IP-адреса соответствующему символьному имени, и пользователь по запросу также попадает на подставной сервер.

С кэширующими DNS-серверами «общаются» программы, находящиеся непосредственно на компьютерах пользователей, — резолверы. Искажение информации также возможно в процессе «общения» кэширующего DNS-сервера непосредственно с программой-резолвером.

Для осуществления всех этих действий не требуется специальных навыков и больших познаний в программировании, поэтому изменить информацию о домене под силу даже начинающим пользователям.

Самой распространенной практикой в интернете является подмена запрашиваемого сайта подставным с целью сбора секретной информации: паролей, номеров кредитных карт. Таким же образом злоумышленники могут читать вашу электронную переписку, перехватывать сообщения интернет-пейджеров, подслушивать телефонные разговоры (IP-телефония).

Отдельно стоит отметить возможность преднамеренного искажения информации: вместо запрашиваемого ресурса пользователь рискует получить в результате запроса ресурс с таким же web-интерфейсом, как и у запрашиваемого, только с искаженной информацией. Это могут быть, например, подделанные биржевые сводки или информация, порочащую честь и достоинство компании-владельца запрашиваемого ресурса.

Также отмечены частые случаи подстановки искаженной информации при обратном DNS-преобразования (backresolve) со стороны спамеров с целью обмануть настройки почтового сервера и заставить их принять спам.

В общем, DNS-атакам подвержена любое интернет-соединение, основанная на использовании символьных имен ресурсов. В этой ситуации не спасает ни защищенный web-протокол https, ни даже протокол безопасности SSL.