Показано с 1 по 3 из 3.

Представлен инструмент для проведения атак "DNS rebinding"

  1. #1
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,699
    Вес репутации
    1810

    Представлен инструмент для проведения атак "DNS rebinding"

    На прошедшей в конце июля в Лас-Вегасе конференции Black Hat, исследователь в области компьютерной безопасности Крейг Хеффнер (Craig Heffner) представил простой в использовании инструмент для проведения атак типа "DNS rebinding" — Rebind.

    Суть атаки "DNS rebinding" состоит в следующем. Вначале злоумышленник обманом заставляет жертву открыть web-страницу, содержащую специально подготовленный JavaScript-код, Flash-объект или Java-апплет. Далее, этот код обращается к своему серверу при помощи XMLHttpRequest или аналогичной технологии. Ключевой момент — обращение происходит по доменному имени, которое делегировано на специально подготовленный DNS-сервер. Такой сервер периодически разрешает это доменное имя то во внешний адрес web-сервера злоумышленника, то во внутренний адрес локальной сети (например, 192.168.0.1). Таким образом, исполняемый на компьютере жертвы код может работать как прокси, предоставляя доступ извне к хостам в локальной сети, имеющим внутренние адреса. В частности, злоумышленник может получить доступ к административному интерфейсу домашнего маршрутизатора, недоступному на WAN-порту.

    Представленный на BlackHat инструмент Rebind предназначен именно для атак на домашние маршрутизаторы. Здесь можно посмотреть список маршрутизаторов, которые успешно атакуются им. На странице FAQ проекта можно ознакомиться с краткой инструкцией по развертыванию Rebind'а.

    Важным достоинством атак типа "DNS rebinding" является то, что большинство методов защиты, используемых в современных браузерах, основано как раз на проверке доменного имени, и поэтому не могут противостоять атакам этого типа (XMLHttpRequest блокирует обращения к доменам, отличным от текущего). Однако, стоит отметить, что в вышедшей недавно версии NoScript 2.0 реализована защита даже от таких атак. Кроме того, защиту от описанной атаки можно реализовать на уровне программного обеспечения домашнего маршрутизатора. В качестве примера дистрибутива для маршрутизаторов, имеющего такую защиту, Хеффнер приводит pfsense. Также, защита от подобных атак поддерживается в DNS-сервере BIND начиная с версии 9.7. Ну и наконец, стоит отметить, что шансы на успех атаки значительно снижаются, если пользователь меняет стандартный пароль для доступа к интерфейсу маршрутизатора на свой собственный, стойкий.

    The worst foe lies within the self...

  2. Реклама
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    Интересно, как вообще можно атаковать домашний маршрутизатор, если на нем для достпа в админ-панель стоит 10-значный несмысловой пароль + запрос ввода каптчи на каждую попытку ?! (последнее например есть в чем-то типа DLink-320, для предотвращения перебора паролей и авто-логина в случае, если в браузере сохранены пароли доступа к роутеру). Вариантов получается немного:
    1. пароля на роутере нет либо он дефолтный. такое встречается сплоши и рядом, такие роутеры ломаются и без особых ухищрений, я например сотни раз видел роутеры с незапароленным WiFi и незапароленным админ-входом по умолчанию (через WiFi доступна админка)
    2. пароль на роутере есть, но он сохранен в браузере. Это (в чистой теории) можно использовать для автологина, при условии, что на форме логина нет каптчи и иных подобных защит
    Последний раз редактировалось Зайцев Олег; 06.08.2010 в 14:29.

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для antanta
    Регистрация
    27.12.2008
    Адрес
    Алматы
    Сообщений
    687
    Вес репутации
    504
    Года 4 назад я проводил сбор статистики. Методика была примерно такая:
    1) Выявляем подсеть провайдера, предоставляющего доступ по DSL
    2) сканируем на предмет открытого 21-го порта (FTP, что на 99 % означало DSL-модем)
    3) Пробуем стандартую пару логин-пароль.
    Итог - примерно 25% имели заводские настройки.
    По поводу атак на DNS, наверное в другом разделе: http://virusinfo.info/showthread.php...368#post683368

Похожие темы

  1. Ответов: 7
    Последнее сообщение: 26.04.2012, 16:16
  2. Убийство лидера "Аль-Каиды" спровоцировало новую волну атак
    От CyberWriter в разделе Новости компьютерной безопасности
    Ответов: 0
    Последнее сообщение: 05.05.2011, 00:40
  3. Ответов: 1
    Последнее сообщение: 16.11.2009, 16:20
  4. Ответов: 5
    Последнее сообщение: 31.01.2009, 22:23
  5. "Доктор Веб" предупреждает о волне фишинг-атак
    От ALEX(XX) в разделе Новости компьютерной безопасности
    Ответов: 0
    Последнее сообщение: 16.11.2008, 22:16

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00630 seconds with 20 queries