Показано с 1 по 1 из 1.

Атаки конкурентов, способные нанести вред вашему сайту: Атака на DNS

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3162

    Атаки конкурентов, способные нанести вред вашему сайту: Атака на DNS

    Корень проблемы: UDP
    Прежде чем описать очередную возможную интернет атаку со стороны конкурентов, я бы хотел сначала немного углубится в UDP, а точнее в его проблемную область: информация об IP адресе отправителя в UDP может быть легко подделана!
    Я небуду рассказывать всех нюансов, но это точно такая же проблема, как и заголовок From в email, они существуют и им нельзя доверять.

    Проблема была бы легко решена, если бы каждый провайдер перед отправлением UDP «в мир» отсекал все поддельные (спуфленные) UDP на маршрутеризаторе. Причем технически это сделать не сложнее, чем настроить в почтовом сервере запрет отправки email с поддельным адресом отправителя. Увы, ISP в нашем мире далеки от идеала.

    Говорят, что в Парижской Палате Мер и Весов где-то есть Идеальный Провайдер. Он дает канал на 1Gbps на 1 год за 1 рубль. Он хранится под стеклом и его нельзя трогать руками.

    Так вот, для своей работы DNS использует TCP и UDP. Причем, если размер информации будет меньше 512 байт, то она будет отправлена по UDP. Все бы хорошо, DNS будут работать быстро, для UDP можно выделить отдельную полосу, так как он легче TCP.

    Но есть один момент. Если отправить специально сформированный запрос размером в 17 байт к DNS серверу и подставить IP жертвы, то жертва в ответ получит ответ в 500 байт! Причем, что самое печальное, в интернете масса DNS серверов с открытой рекурсией, что позволяет использовать их для атаки!
    Я не шучу, таких серверов действительно очень много. Обычно популярные панели для управления хостингом, такие как WHM, Plesk, DirectAdmin и ISPManager устанавливают DNS и оставлют открытым рекурсивные запросы. А таких хостингов в интернете много, очень много!


    Атака на DNS: как это бывает

    Итак, у Вас есть некий сайт, к нему положен домен, а к доменам — DNS сервера. Обычно хостер дает свои DNS сервера и вы просто прописываете их в домене. Предположим, хостер выдал 2 DNS: dns1.hoster.ru и dns2.hoster.ru.

    Злоумышленник смотрит, на каких IP стоят эти DNS серверы и намечает их в качестве жертвы.
    После этого он при помощи поисковых систем ищет хостинги с панелями, которые устанавливает DNS с открытой рекурсией и собирает базу.
    Затем покупает самый дешевый хостинг за 1$ с открытыми сокетами и начинает рассылать фальшивые DNS запросы в которых установлен IP адрес жертвы.

    К чему это приводит? Подсчитать очень просто. Предположим, скрипт рассылает запросы со скоростью 2Mbps. Так как серверы обычно подключены к 100Mbps порту, то хостеры просто ничего не замечают. Несложно посчитать, что при соотношении 17:500 сила выхлопа информационного мусора составит примерно 58Mbps.

    А если злоумышленник накупит таких хостингов в числе 10 штук? Это уже примерно под 500Mbps!
    Канал хостера к DNS будет физически забит столь большим трафиком, что DNS сервера перестанут получать запросы от легальных пользователей и отвечать на них. Сайт перестанет работать. И стоимость такой атаки составит всего десять долларов!

    Как защитить свой домен от DNS атак

    Самый простой совет — используйте DNS сервера своего регистратора домена. И действительно, если на обычном хостинге как правило под DNS используется один или два физических сервера, то у регистраторов для это устанавливается надежная отказоустойчивая система с балансировкой нагрузки, причем вместо обычных серверов отвечают специализированные аппаратно-программные комплексы. И разумеется, у регистраторов есть специальные средства фильтрации подобных атак.

    Как правило регистратор, у которого вы приобрели домен предоставляет возможность использовать его DNS сервера бесплатно или за небольшую сумму денег. Но как именно самому настроить свой домен на DNS регистратора?

    Нет ничего проще. Сначала вам нужно узнать на каком адресе находится сайт и почта. Для этого используйте команду host:

    $host habrahabr.ru

    habrahabr.ru has address 62.213.122.2
    habrahabr.ru mail is handled by 10 aspmx4.googlemail.com.
    habrahabr.ru mail is handled by 10 aspmx5.googlemail.com.
    habrahabr.ru mail is handled by 1 aspmx.l.google.com.
    habrahabr.ru mail is handled by 5 alt1.aspmx.l.google.com.
    habrahabr.ru mail is handled by 5 alt2.aspmx.l.google.com.
    habrahabr.ru mail is handled by 10 aspmx2.googlemail.com.
    habrahabr.ru mail is handled by 10 aspmx3.googlemail.com.


    В ответе мы получили адрес сайта и адреса почтовых серверов домена. Теперь укажите в DNS wildcard запись A (она еще может называться @) на адрес сайта (в этом примере — 62.213.122.2), и создайте почтовые записи MX, куда пропишите почтовые сервера (в этом примере — почта на Google).

    Теперь ваш сайт станет более надежным к подобного рода атакам. Однако есть еще один совет, который поможет сделать ваш домен практически 100% надежным к подобного рода атакам.

    «Одна голова хорошо — а три лучше» © Змей Горыныч

    Для этой защиты нам потребуются два дополнительных домена, причем заказанных у разных регистраторов.

    Между прочим, правилом хорошего тона является регистрация домена в популярных зонах — RU, COM, NET, ORG. Посмотрите как это делает Google.


    Например, основной домен для своего проекта вы выбрали в зоне COM у европейского регистратора. Пусть это будет domain.com.

    Теперь зарегистрируйте еще domain.ru например у nic.ru и domain.net у какого-то западного регистратора, например — directi. В доменных записях domain.ru и domain.net создайте набор DNS записей по тому же принципу что и выше, а потом обязательно зарегистрируйте эти домены в качестве DNS серверов. Некоторые регистраторы делают это сами, у других это делается через панель, а третьим надо писать в техподдержку.
    А теперь, внимание, никакого мошенничества — только ловкость рук, смените DNS сервера у домена domain.com на domain.ru и domain.net!

    Проверьте, что при запросе NS серверов действительно выдаются нужные нам домены:

    $host -t ns domain.com

    domain.com name server domain.ru.
    domain.com name server domain.net.

    Отлично! Теперь DNS поддерживают сразу два независимых регистратора. С такой защитой вашему домену вряд-ли будет грозить какая-то неприятность. Ну а если вы хотите, то можете продолжить систему — зарегистрировать еще больше доменов в разных зонах и у разных регистраторов. А потом установить их всех в качестве DNS для вашего основного домена.

    источник http://habrahabr.ru/

  2. Реклама
     

Похожие темы

  1. Спасибо Вашему сайту.
    От Zlooo в разделе Помогите!
    Ответов: 15
    Последнее сообщение: 25.06.2012, 23:38
  2. Ответов: 0
    Последнее сообщение: 05.05.2010, 06:03
  3. Ответов: 1
    Последнее сообщение: 11.10.2009, 16:59
  4. Ответов: 5
    Последнее сообщение: 31.01.2009, 22:23
  5. DDoS-атаки нового вида могут нанести интернету огромный ущерб
    От ALEX(XX) в разделе Новости компьютерной безопасности
    Ответов: 1
    Последнее сообщение: 19.03.2006, 23:43

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00147 seconds with 18 queries