SAD DNS — новая уязвимость возвращает актуальность атакам DNS Cache Poisoning
Атака «SAD DNS» позволяет злоумышленникам перенаправлять любой трафик на сервер, находящийся под их контролем.
Группа ученых из Калифорнийского университета и Университета Цинхуа обнаружила ряд критических недостатков в безопасности, которые могут привести к возрождению атак «DNS Cache Poisoning».
Атака названная «SAD DNS» (сокращенно Side-channel AttackeD DNS) позволяет злоумышленникам перенаправлять любой трафик, изначально предназначенный для определенного домена, на сервер, находящийся под их контролем, тем самым позволяя им перехватывать и взламывать соединения.
«Это важная черта — первая атака на side-канал сети, которая имеет серьезные последствия для безопасности», — сообщили исследователи. «Атака позволяет злоумышленнику, находящемуся вне сети, внедрить вредоносную DNS-запись в DNS-кэш».
Результаты исследования, отслеживаемые как CVE-2020-25705, были представлены на конференции «ACM Conference on Computer, and Communications Security» (CCS ’20), состоявшейся на этой неделе.
Этот дефект затрагивает операционные системы Linux 3.18-5.10, Windows Server 2019 (версия 1809) и новее, macOS 10.15 и новее, а также FreeBSD 12.1.0 и новее.
DNS-серверы снова становятся точкой входа атак
DNS-серверы обычно кэшируют ответы на запросы IP-адресов в течение определенного периода в качестве средства повышения производительности отклика в сети. Но именно этот механизм можно использовать для атаки, подменяя DNS записи и IP адреса для данного веб-сайта и перенаправляя пользователей, пытающихся посетить этот веб-сайт, на другой сайт по выбору злоумышленника.
Однако эффективность таких атак частично снизилась из-за таких протоколов, как DNSSEC (Domain Name System Security Extensions), которые создают безопасную систему доменных имен путем добавления криптографических подписей к существующим DNS записям и защиты на основе рандомизации, позволяющей DNS-серверу использовать различные порты источника и идентификаторы транзакций для каждого запроса.
Отметив, что эти две меры еще далеки от широкого применения по причинам проблем со «стимулом к их использованию и совместимости», исследователи заявили, что они разработали атаку, которая может быть успешно использована против наиболее популярных программных стеков DNS, тем самым делая уязвимыми публичные сервера DNS, такие как Cloudflare 1.1.1.1 и Google 8.8.8.8.
Механика новой атаки
Атака SAD DNS работает с использованием скомпрометированной машины в любой сети, способной инициировать запрос к DNS-серверу, например, из общедоступной беспроводной сети, управляемой беспроводным маршрутизатором в кафе, торговом центре или аэропорту.
Эксплойт использует side-канал в стеке сетевых протоколов для сканирования и обнаружения того, какие порты источника используются для инициирования DNS-запроса, а затем вводит большое количество поддельных DNS-ответов путем брутфорса идентификаторов транзакций.
Если говорить точнее, исследователи использовали канал, применяемый в запросах доменных имен, чтобы определить точный номер порта источника, посылая поддельные UDP-пакеты, каждый из которых с различными IP-адресами, на сервер жертвы и делая вывод о том, попали ли поддельные зонды на нужный порт источника на основании полученных ICMP-ответов (или их отсутствия).
Этот метод сканирования портов достигает скорости сканирования 1000 портов в секунду, суммарно занимая чуть более 60 секунд для пересчета всего диапазона портов, состоящего из 65536 портов. Когда порт источника, таким образом, дерандомизирован, все, что нужно сделать злоумышленнику, это вставить вредоносный IP адрес для перенаправления трафика веб сайта и успешно провести атаку «DNS Cache Poisoning».
Противодействие атаке «SAD DNS»
Помимо демонстрации способов расширения окна атаки, позволяющего злоумышленнику сканировать большее количество портов, а также внедрять дополнительные неавторизованные записи в кэш DNS, исследование показало, что более 34% открытых преобразователей в интернете уязвимы к атаке, 85% из которых представляют собой популярные DNS службы, такие как Google и Cloudflare.
Для противодействия «SAD DNS» исследователи рекомендуют отключать исходящие ICMP-ответы и более агрессивно устанавливать таймаут DNS-запросов.
Исследователи также собрали инструмент для проверки DNS-серверов на уязвимость для этой атаки. Кроме того, группа работала с командой безопасности ядра Linux над исправлениями, которые рандомизируют глобальный лимит ICMP для введения шумов на side-канале.
Исследование «представляет новый и общий side-канал, основанный на глобальном лимите ICMP, универсально реализованный всеми современными операционными системами», — заключили исследователи. «Это позволяет эффективно сканировать порты источников UDP в DNS-запросах. В сочетании с методикой расширения окна атаки это приводит к мощному возрождению атаки «DNS Cache Poisoning».
Что такое DNS кэш? Для чего нужно очищать DNS кэш в веб-браузере? Как это сделать? Печать
DNS кэш — это временная база данных, которая содержит записи обо всех последних посещениях и попытках посещений веб-сайтов и другие IP-адреса сайтов.
И нужно это для того, чтобы при повторном посещении страницы загружались быстрее, на которые компьютер может быстро ссылаться.
Цель кэша DNS можно провести с аналогией телефонной книгой. Ведь Интернет использует систему доменных имен для поддержания индекса всех общедоступных веб-сайтов и их соответствующих IP-адресов. Также и с телефонной книгой не нужно запоминать номер телефона каждого человека для общения с ним. Таким образом, используется DNS для избегания необходимости запоминать IP-адрес каждого веб-сайта, что является единственным способом взаимодействия сетевого оборудования с веб-сайтами.
Каким образом кэширование DNS помогает ускорить интернет ?
Каждый раз, когда пользователь посещает веб-сайт по имени своего хоста, веб-браузер инициирует запрос в Интернет, но этот запрос не может быть завершен до тех пор, пока имя сайта не будет «преобразовано» в IP-адрес.
Кэш DNS пытается ускорить процесс еще больше, обработав разрешение имен недавно посещенных адресов до того, как запрос будет отправлен в Интернет.
Если у вас возникают проблемы с отображением сайтов, или загрузкой, возможно проблема в устаревших данных DNS-кэша на компьютере.
Обычно после внесений изменений в DNS — записи домена в браузере отображается старый контент. По следующим причинам:
- В локальном кэше вашего ПК все еще хранятся старые данные;
- В кэше DNS-сервера вашего интернет-провайдера все еще хранится старый контент.
В этом случае рекомендуется очистить кэш в веб-браузере.
Для очистки кэш распознавателя DNS, выполните следующие шаги:
- Нажмите Win + R.
- В открывшемся меню напишите cmd.
- выполнить там команду:
ipconfig /flushdns - После этого должна появиться надпись «Кэш сопоставителя DNS успешно очищен».
Очистка DNS кэша в Linux
Современных версии операционной системы Linux не используют DNS кэш резолвер, как это делает Windows и Mac OS X.
Тем не менее, наиболее часто используемым кэширующим DNS приложением считается Демона Кэширования Для Службы Имен (Name Service Caching Daemon). Он вряд ли устанавливается по умолчанию, потому и отсутствует потребность в очистке кеша. Но если Вы уже установили данное приложение, то можете очистить кэш, введя в терминал следующую команду:
sudo service ncsd restart
Как альтернативу, также можете ввести эти команды:
Если после выполнения вышеописанных действий все еще отображается старый контент, то необходимо подождать автоматического обновления кэша у провайдера. Для полного выполнения DNS изменений процесс может занять до 72 часов.
Как очистить кэш DNS?
Некоторые браузеры и устройства хранят данные о местоположении веб-сайта в вашей системе для более быстрого доступа с помощью DNS Cache. DNS кэш необходимо очистить, чтобы удалить сохраненные данные о местоположении веб-сайта.
Кэш DNS (или кэш DNS resolver) — это временная база данных IP-каталога, которая хранится операционной системой вашего компьютера или другого устройства и содержит следы всех ваших последних посещений веб-сайтов и других интернет-доменов. DNS (или Domain Name System) — это каталог всех публичных веб-сайтов и соответствующих им IP-адресов. Когда вы вводите имя сайта в браузере, DNS находит его IP-адрес и перенаправляет вас на этот сайт. Он также хранит информацию об этом визите в своей кэш-памяти. При повторном посещении сайтов DNS кэш ускоряет процесс, запоминая IP-адрес запрашиваемого сайта. Флеш DNS здесь не нужен, так как служба DNS не запрашивает IP-адрес — он уже хранится в кэше.
Однако со временем память DNS кэша может заполниться слишком большим количеством данных или содержать неверные результаты, которые были записаны в его память. В результате вы часто получаете ошибку «Страница не найдена» на экране даже на тех сайтах, с которыми у вас обычно нет проблем. Настоящая проблема начинается, когда ваш DNS кэш либо поврежден из-за технических сбоев или административных неполадок, либо, что еще хуже, отравлен в результате вирусов или сетевых атак. Ваша база данных DNS перестает работать должным образом, и в худшем случае вы можете стать жертвой фишинга, перенаправившись на веб-сайт, который выглядит так, как вы хотели, но на самом деле принадлежит ворам, которые охотятся за вашими деньгами (например, в случае доступа к банковским сайтам).
Решением большинства проблем является DNS-флеш. Команда DNS flush очищает, сбрасывает и стирает все записи во временной памяти. Наряду с правильными записями, он также очищает все недействительные и отравленные записи. Весь процесс «запроса IP» начинается с самого начала, и новые, правильные адреса получаются с DNS-сервера в сети, с которой вы настроены на работу.
Вот некоторые из распространенных способов очистки DNS кэша.
* Другие устройства, такие как андроид, медиаплееры, смарт-телевизоры, в основном нуждаются в перезагрузке устройства для dns flush.
Windows XP, Vista, 7, 8, 10
- Шаг 1: Откройте командную строку
- Windows XP: Щелкните меню «Пуск», нажмите Run.Type в cmd и нажмите клавишу enter.
- Windows Vista/7: Введите команду в строке поиска и нажмите Enter.
- Windows 8: Нажмите клавишу Win (клавиша логотипа окна) и X на клавиатуре. Нажмите на командную строку.
- Введите ipconfig /flushdns и нажмите Enter.
Mac OSX- Шаг 1:Открыть терминал
- Навигация к Приложениям -> Утилиты -> Терминал
- Mac OS X Yosemite и более поздние
sudo killall -HUP mDNSResponder- Mac OS X Yosemite v10.10 — v10.10.3
sudo discoveryutil mdnsflushcache
Портативные устройства- Шаг 1: Закрыть приложения
- Закройте приложение полностью. Убедитесь, что он не работает и в фоновом режиме.
- Выключите Wifi на вашем устройстве и включите его снова.
- Откройте приложение снова. Кэш DNS должен быть очищен.
устройства iOS- Нажмите и удерживайте обе кнопки «Сон/Будь» и «Домой» не менее 10 секунд, пока не увидите логотип Apple.
ТВ-устройства- Шаг 1: Закрыть приложения
- Закройте приложение полностью. Убедитесь, что он не работает и в фоновом режиме.
- Откройте приложение снова. Кэш DNS должен быть очищен.
Теперь ваш DNS кэш чист и ваши устройства готовы к получению соответствующих адресов. Если у вас возникли проблемы с доступом к веб-сайтам, DNS flush обычно является первой линией защиты при восстановлении правильного подключения в вашей сети. Флеш DNS может быть выполнен не только на вашем компьютере, но и на мобильных устройствах, подключенных к Интернету. Она может выполняться на маршрутизаторах, которые также могут иметь DNS кэш. Флеш DNS на маршрутизаторе можно просто перезагрузить, чтобы очистить DNS записи, хранящиеся во временной памяти маршрутизатора.
Dnscache что это за служба
Предыстория: доменными политиками были отключены dns-клиенты на пользовательских компьютерах, за компанию отключились и на серверах приложений. Вместе с dns остановились и агенты 1С. При копании было обнаружено, что служба «Агент сервера 1С:Предприятия 8.х» зависит от службы «DNS-клиент». Включили, из политики вывели, стали думать — а зачем такая зависимость?
Кто-нибудь может объяснить, почему агент 1С зависит от dns-клиента?
Вероятно потому, чтобы ПК мог найти сервер 1С.
Да и домен не будет работать без DNS.
Кому пришло в голову отключать DNS-клиентов?ps.
>>стали думать
А _сначала_ думать, а потОм портить не пробовали?(1) Рекомендую: идем в службы, отключаем dns-клиента, пробуем пропинговать кого-нибудь по имени. Удивляемся — пингует.
(2) А сначала матчасть осилить не пробовали?
Читаем описание: «Служба DNS-клиента (dnscache) кэширует имена DNS (Domain Name System) и регистрирует полное имя данного компьютера. Если служба остановлена, разрешение имен DNS будет продолжаться. Однако результаты очередей имен DNS не будут кэшироваться, и имя компьютера не будет зарегистрировано. Если служба отключена, все явно зависящие от нее службы запустить не удастся.»(1) Контроллеры домена — естественно совсем другие сервера.
(3)кэш сбрось и пингани кого-нить за роутером.
Твоя цитата — описание лишь одной из функций службы, не самой важной, и, по-ходу, скопипастенной со справки сервера.
И всё таки: зечем рубить dns-клиента? Чего добиться-то хотели?подскажите пожалуйста бесплатную программу по складскому учету.только не демо версии а реально работающую.
(5) Ради безопасности наверное.
(0) все намного проще
в DNS есть записи типа SRV, которые указывают на контроллеры домена.
Первое, что делает служба 1С — это проверка прав пользователя от имени которого лна запускается. Чтобы определить где живет AD и делается DNS-запросВообще конечно классика админского жанра. Последовательность
Эксперимент -> П**здец -> Чтение документации
(9) +1 Почитали документацию — Сознательный эксперемент — П**здец — Вернули все обратно, потом как нибудь.
(5) Я понимаю звучит фантастично, но пингует. 🙂
Цитата скопипастена не с серверной винды — в серверной еще про AD пишут.
Зачем рубить — админы разбираются со своими проблемами, Я со своими, суть не в том — зачем агенту 1С настолько нужен dns-клиент?
Служба агента напрямую зависит от dns-клиента. Остановлен dns — сразу рубится и агент.(8) Сразу вопрос — чем не устраивает ответ от DNS-сервера напрямую? «Первое, что делает служба 1С — это проверка прав пользователя от имени которого лна запускается.» — фраза вызывает огромные сомнения. Права и пароль пользователя, от которого она запускается проверит сама система. Кроме того — агент 1С прекрасно живет под ЛОКАЛЬНОЙ учетной записью у 99.99% форумчан (оставим дольку на любителей экспериментов).
(9) Покажите место в документации. Прошуршал весь итс — ничего подобного не нашел.
(10) Никто даже не подозревал о такой зависимости, потому что это бред. Нет смысла. И ни одна другая служба не зависит напрямую от dns-клиента.
к (1) и (9) ссылка на описание от MS по отключению dns-клиента, без всяких предупреждений, что что-то не будет работать, наоборот — прямо сказано, что dns-клиент — это только КЭШИРУЮЩАЯ служба и все прекрасно будет работать и без него.
Господа — кроме «лол» и «гыгыгы» есть предположения? 🙂
Учи матчасть. В настройке службы можно устанавливать зависимость запуска одной службы от другой. Это просто декларация. Поэтому можешь зайти в реестр (ВСЕ КОРРЕКТИРОВКИ РЕЕСТРА НА ВАШ СТРАХ И РИСК) и удалить ненужные на твой взгляд зависимости. Насколько обоснованы зависимости, которые определила 1С сказать не могу. Понятное дело, что зависимость например от MS SQL железная: пока не стартовал скуль нечего стартовать 1С. Насчет DNS-клиента, не знаю. Отключи и попробуй.
А почему бы на серверах 1с эту политику не применять? Покажи админам окно зависимости служб и все
(12) Если Вы не админ, то зачем решаете их проблемы? Не работает служба или еще что-то вне окна 1С — это проблема админов, но никак не программистов ИМХО
(15) Почему люди так любят предполагать незнание матчасти и предпочитают ответы на вопросы, которые не были заданы? Я знаю как отвязать службы, как работает dns-клиент, идеологию AD и еще много разных страшных слов. 🙂
Вопрос в другом. Вопрос и есть в обоснованности зависимости служб. Чем-то же руководствовались в 1С жестко завязывая агента на dns-клиента.
(16) Так вынесли уже давно из под политики сервера, все работает.
(17) Вопрос решен. Проблемы нет. Есть интерес, Я вообще считаю, что любопытство одна из необходимых черт характера «компьютерщика».
(18) Не являюсь экспертом в данной области, но рискну предположить. Служба «DNS-клиент» отвечает не только за кэширование ответов DNS-сервера, но и за регистрацию ПК, введенного в AD, на виндовом DNS, связанном с AD. Прочитать это модно даже в описании службы из стандартной виндовой оснастки:
«Служба DNS-клиента (dnscache) кэширует имена DNS (Domain Name System) и регистрирует полное имя данного компьютера. Если служба остановлена, разрешение имен DNS будет продолжаться. Однако результаты очередей имен DNS не будут кэшироваться, и имя компьютера не будет зарегистрировано. Если служба отключена, все явно зависящие от нее службы запустить не удастся.»
Думая собака порылась именно в процедуре регистрации имени компа на MS DNS сервере, связанном с AD. Процессы сервера ragent.exe, rmngr.exe и rphost.exe «общаются» между собой через сокеты, «обращаясь» друг к другу именно по имени компа (само собой разумеется, что именно так это происходит в кластере из нескольких серверов, но при наличии в кластере только одного сервера механизм межпроцессного взаимодействия остается тем же). А если у компа с сервером 1С, аж страшно предположить, динамический IP-адрес, то до старта этой службы запись в DNS будет ссылаться на старый адрес и, как следствие, процессы сервера не смогут «найти» друг друга.
(19)+100 , а что бы развеять убежденность, что клиент DNS не нужен, в (11) [Я понимаю звучит фантастично, но пингует. 🙂 ] — попробуй пропинговать машинку из другой подсети, и возможно узнаешь зачем открыты 137, 139 порты .
- Mac OS X Yosemite v10.10 — v10.10.3