Mae twnelu DNS yn troi'r system enwau parth yn arf ar gyfer hacwyr. Yn ei hanfod, llyfr ffôn enfawr y Rhyngrwyd yw DNS. DNS hefyd yw'r protocol sylfaenol sy'n caniatáu i weinyddwyr gwestiynu cronfa ddata gweinyddwyr DNS. Hyd yn hyn mae popeth yn ymddangos yn glir. Ond sylweddolodd hacwyr cyfrwys y gallent gyfathrebu'n gyfrinachol â chyfrifiadur y dioddefwr trwy chwistrellu gorchmynion rheoli a data i'r protocol DNS. Y syniad hwn yw sail twnelu DNS.
Sut mae twnelu DNS yn gweithio
Mae gan bopeth ar y Rhyngrwyd ei brotocol ar wahân ei hun. Ac mae cefnogaeth DNS yn gymharol syml math cais-ymateb. Os ydych chi eisiau gweld sut mae'n gweithio, gallwch chi redeg nslookup, y prif offeryn ar gyfer gwneud ymholiadau DNS. Gallwch ofyn am gyfeiriad trwy nodi'r enw parth y mae gennych ddiddordeb ynddo, er enghraifft:
Yn ein hachos ni, ymatebodd y protocol gyda'r cyfeiriad IP parth. O ran y protocol DNS, gwnes gais cyfeiriad neu gais fel y'i gelwir. Math "A". Mae mathau eraill o geisiadau, a bydd y protocol DNS yn ymateb gyda set wahanol o feysydd data, y gall hacwyr eu hecsbloetio, fel y gwelwn yn ddiweddarach.
Un ffordd neu'r llall, yn ei graidd, mae'r protocol DNS yn ymwneud â throsglwyddo cais i'r gweinydd a'i ymateb yn ôl i'r cleient. Beth os yw ymosodwr yn ychwanegu neges gudd y tu mewn i gais enw parth? Er enghraifft, yn lle mynd i mewn i URL cwbl gyfreithlon, bydd yn nodi'r data y mae am ei drosglwyddo:
Dywedwch fod ymosodwr yn rheoli'r gweinydd DNS. Yna gall drosglwyddo data - data personol, er enghraifft - heb o reidrwydd gael ei ganfod. Wedi'r cyfan, pam y byddai ymholiad DNS yn dod yn rhywbeth anghyfreithlon yn sydyn?
Trwy reoli'r gweinydd, gall hacwyr greu ymatebion ac anfon data yn ôl i'r system darged. Mae hyn yn caniatáu iddynt drosglwyddo negeseuon sydd wedi'u cuddio mewn amrywiol feysydd o'r ymateb DNS i'r malware ar y peiriant heintiedig, gyda chyfarwyddiadau fel chwilio y tu mewn i ffolder penodol.
Mae rhan "twnelu" yr ymosodiad hwn yn data a gorchmynion o ganfod gan systemau monitro. Gall hacwyr ddefnyddio setiau nodau base32, base64, ac ati, neu hyd yn oed amgryptio'r data. Bydd amgodio o'r fath yn mynd heibio heb ei ganfod gan gyfleustodau canfod bygythiadau syml sy'n chwilio'r testun plaen.
A dyma dwnelu DNS!
Hanes ymosodiadau twnelu DNS
Mae gan bopeth ddechrau, gan gynnwys y syniad o herwgipio'r protocol DNS at ddibenion hacio. Cyn belled ag y gallwn ddweud, y cyntaf Cynhaliwyd yr ymosodiad hwn gan Oskar Pearson ar restr bostio Bugtraq ym mis Ebrill 1998.
Erbyn 2004, cyflwynwyd twnelu DNS yn Black Hat fel techneg hacio mewn cyflwyniad gan Dan Kaminsky. Felly, tyfodd y syniad yn gyflym iawn yn arf ymosod go iawn.
Heddiw, mae twnelu DNS mewn sefyllfa hyderus ar y map (a gofynnir yn aml i blogwyr diogelwch gwybodaeth ei esbonio).
Ydych chi wedi clywed am ? Mae hon yn ymgyrch barhaus gan grwpiau seiberdroseddol - a noddir gan y wladwriaeth yn ôl pob tebyg - i herwgipio gweinyddwyr DNS cyfreithlon er mwyn ailgyfeirio ceisiadau DNS i'w gweinyddwyr eu hunain. Mae hyn yn golygu y bydd sefydliadau'n derbyn cyfeiriadau IP "drwg" sy'n pwyntio at dudalennau gwe ffug sy'n cael eu rhedeg gan hacwyr, fel Google neu FedEx. Ar yr un pryd, bydd ymosodwyr yn gallu cael cyfrifon defnyddwyr a chyfrineiriau, a fydd yn mynd i mewn iddynt yn ddiarwybod i wefannau ffug o'r fath. Nid twnelu DNS yw hwn, ond dim ond canlyniad anffodus arall i hacwyr sy'n rheoli gweinyddwyr DNS.
Bygythiadau twnelu DNS
Mae twnelu DNS fel dangosydd o ddechrau'r cam newyddion drwg. Pa rhai? Rydym eisoes wedi siarad am sawl un, ond gadewch i ni eu strwythuro:
- Allbwn data (all-hidlo) - mae haciwr yn trosglwyddo data hanfodol yn gyfrinachol dros DNS. Yn bendant nid dyma'r ffordd fwyaf effeithlon o drosglwyddo gwybodaeth o gyfrifiadur y dioddefwr - gan ystyried yr holl gostau ac amgodiadau - ond mae'n gweithio, ac ar yr un pryd - yn gyfrinachol!
- Gorchymyn a Rheoli (talfyredig C2) - mae hacwyr yn defnyddio'r protocol DNS i anfon gorchmynion rheoli syml trwy, dyweder, (Tro Droea Mynediad o Bell, talfyredig RAT).
- Twnelu IP-Over-DNS - Efallai bod hyn yn swnio'n wallgof, ond mae yna gyfleustodau sy'n gweithredu pentwr IP ar ben ceisiadau ac ymatebion protocol DNS. Mae'n trosglwyddo data gan ddefnyddio FTP, Netcat, ssh, ac ati. tasg gymharol syml. Hynod o atgas!
Canfod twnelu DNS
Mae dau brif ddull ar gyfer canfod cam-drin DNS: dadansoddi llwythi a dadansoddi traffig.
Ar dadansoddiad llwyth Mae'r blaid sy'n amddiffyn yn chwilio am anghysondebau yn y data a anfonir yn ôl ac ymlaen y gellir eu canfod trwy ddulliau ystadegol: enwau gwesteiwr rhyfedd eu golwg, math o gofnod DNS nad yw'n cael ei ddefnyddio mor aml, neu amgodio ansafonol.
Ar dadansoddiad traffig Amcangyfrifir nifer y ceisiadau DNS i bob parth o'i gymharu â'r cyfartaledd ystadegol. Bydd ymosodwyr sy'n defnyddio twnelu DNS yn cynhyrchu llawer iawn o draffig i'r gweinydd. Mewn egwyddor, yn sylweddol uwch na chyfnewid negeseuon DNS arferol. Ac mae angen olrhain hyn!
Cyfleustodau twnelu DNS
Os ydych chi am gynnal eich pentest eich hun a gweld pa mor dda y gall eich cwmni ganfod ac ymateb i weithgaredd o'r fath, mae yna nifer o gyfleustodau ar gyfer hyn. Gall pob un ohonynt twnelu yn y modd IP-Dros-DNS:
- – ar gael ar lawer o lwyfannau (Linux, Mac OS, FreeBSD a Windows). Yn eich galluogi i osod cragen SSH rhwng y cyfrifiaduron targed a rheoli. Dyna un dda ar sefydlu a defnyddio Ïodin.
- – Prosiect twnelu DNS gan Dan Kaminsky, wedi'i ysgrifennu yn Perl. Gallwch gysylltu ag ef trwy SSH.
- - “Twnnel DNS nad yw'n eich gwneud chi'n sâl.” Yn creu sianel C2 wedi'i hamgryptio ar gyfer anfon / lawrlwytho ffeiliau, lansio cregyn, ac ati.
Cyfleustodau monitro DNS
Isod mae rhestr o nifer o gyfleustodau a fydd yn ddefnyddiol ar gyfer canfod ymosodiadau twnelu:
- - Modiwl Python wedi'i ysgrifennu ar gyfer MercenaryHuntFramework a Mercenary-Linux. Yn darllen ffeiliau .pcap, yn tynnu ymholiadau DNS ac yn perfformio mapio geoleoliad i gynorthwyo gyda dadansoddi.
- – cyfleustodau Python sy'n darllen ffeiliau .pcap ac yn dadansoddi negeseuon DNS.
Cwestiynau Cyffredin Micro ar dwnelu DNS
Gwybodaeth ddefnyddiol ar ffurf cwestiynau ac atebion!
C: Beth yw twnelu?
AMDANO: Yn syml, mae'n ffordd o drosglwyddo data dros brotocol sy'n bodoli eisoes. Mae'r protocol gwaelodol yn darparu sianel neu dwnnel pwrpasol, a ddefnyddir wedyn i guddio'r wybodaeth sy'n cael ei throsglwyddo mewn gwirionedd.
C: Pryd y cynhaliwyd yr ymosodiad twnelu DNS cyntaf?
AMDANO: Nid ydym yn gwybod! Os ydych yn gwybod, rhowch wybod i ni. Hyd eithaf ein gwybodaeth, cychwynnwyd y drafodaeth gyntaf ar yr ymosodiad gan Oscar Piersan ar restr bostio Bugtraq ym mis Ebrill 1998.
C: Pa ymosodiadau sy'n debyg i dwnelu DNS?
AMDANO: Mae DNS ymhell o fod yr unig brotocol y gellir ei ddefnyddio ar gyfer twnelu. Er enghraifft, mae malware gorchymyn a rheoli (C2) yn aml yn defnyddio HTTP i guddio'r sianel gyfathrebu. Yn yr un modd â thwnelu DNS, mae'r haciwr yn cuddio ei ddata, ond yn yr achos hwn mae'n edrych fel traffig o borwr gwe rheolaidd yn cyrchu safle anghysbell (a reolir gan yr ymosodwr). Mae'n bosibl na fydd rhaglenni monitro yn sylwi ar hyn os nad ydynt wedi'u ffurfweddu i'w gweld cam-drin y protocol HTTP at ddibenion haciwr.
Hoffech chi i ni helpu gyda chanfod twnnel DNS? Edrychwch ar ein modiwl a rhowch gynnig arni am ddim !
Ffynhonnell: hab.com