DNSga hujum va undan himoyalanish

Antivirus dasturini ishga tushirish har doim muhimdir. Buning bir sababi shundaki:zararli dastur sizning kompyuteringizni DNS serveri sozlamalarini o'zgartirishi mumkin, bu albatta siz istamagan narsa.

Masalan, sizning kompyuteringiz Google-ning DNS-serverlarini 8.8.8.8 va 8.8.4.4-dan foydalanmoqda . Ushbu DNS-serverlar ostida bankingizning veb-saytiga bankingizning URL manzili orqali kirish to'g'ri veb-saytni yuklaydi va hisobingizga kirishga ruxsat beradi.

Ammo, zararli dastur sizning DNS serveri sozlamalarini o'zgartirgan bo'lsa (sizning bilimingiz bo'lmagan sahnalarda orqada bo'lishi mumkin), bir xil URL manzilini kiritish sizni butunlay boshqacha veb-saytga yoki undan ham muhimi, bank veb-saytiga o'xshagan veb-saytga o’tkazishi mumkin. Bu soxta bank sayti asliga o'xshash bo'lishi mumkin, ammo siz o’z hisobingizga kiraman deb malumotlarni kiritsangiz scammerga o'zingizning bank hisobingizga kirish uchun zarur bo'lgan barcha ma'lumotlarni berib qo’yishingiz mumkin

Bu yo'lda jabrlanuvchi bo'lishdan qochishning ikkita usuli bor. Birinchisi, virusga qarshi dastur o'rnatish, zararli dastulardan himoya qiladi. Ikkinchisi web-sayt qanday ko'rinishga ega ekanligini bilish. Odatda brauzeringizdagi "noto'g'ri sertifikat" xabarini olgan bo'lsangiz, u odatdagi veb-saytda ishlamayotganingizni tasdiqlashi mumkin.

DNS-Spoofing haqida qisqacha:

3.1-chizma DNS Spoofing ishlash prinsipi

DNS Spoofing – DNS so'rovni qalbakilashtirish, DNS server bazasiga noto'g'ri ma'lumot kiritish orqali klientlarni boshqa soxta manzilga yo'naltirish uchun ishlatiladigan xujum turi.

Agar DNS server o'z bazasidan kerakli nomga mos keluvchi IP manzilni topa olmasa, unda u bu ma'lumotni o'ziga yaqin boshqa bir DNS serverdan so'raydi (boshlang'ich klient host nomidan), agar u DNS serverda ham bu haqda ma'lumot bo'lmasa, u ham boshqa DNS serverdan bu haqda so'raydi va hokazo. Qaysidir DNS serverdan javob topilgach bu javob DNS serverlardan qaytib oxiri boshlang'ich klientga yetib keladi. DNS server boshqa amallarni, masalan yuqoridagi amalni teskarisini ham bajaradi, ya'ni berilgan IP manzilga qaysi nom mos kelishini topib berishi ham mumkin.

DNS Spoofing yuqorida aytilgan, klient host jo'natadigan DNS so'rovga boshqa o'zgartirilgan javob kelishini ta'minlashdir. DNS serverlar tezlik va trafikni optimallash maqsadida oldingi berilgan so'rov va natijalarini o'z keshi (cache)da saqlab qoladi. DNS Spoofingni bir necha usullari bo'lib, ulardan eng asosiysini ko'rib chiqamiz:

DNS server keshini “zaharlash"

Bizga Yandex DNS server (ns1.nishon.uz) keshidagi www.yaxshijoy.uz saytini IP manzilini www.yomonjoy.uz sayti IP siga “almashtirib" qo'yish kerak bo'lsin. Shunda ushbu DNS serverdan foydalanadigan tarmoq qismi foydalanuvchilari www.yaxshijoy.uz saytiga kirganda www.yomonjoy.uz saytiga yo'naltiriladi. Birinchi bo'lib, ns1.nishon.uz (DNS server)ni www.yaxshijoy.uz IP manzili haqidagi ma'lumotni izlashga “majburlaymiz". Buning uchun ns1.nishon.uz ga kerakli DNS so'rov jo'natiladi. So'ngra ushbu dns ga www.yaxshijoy.uz saytiga ma'sul DNS server (masalan ns.yaxshijoy.uz) nomidan soxta DNS-javob jo'natamiz. Ya'ni ns1.nishon.uz www.yaxshijoy.uz haqidagi ma'lumotni o'z keshidan topa olmaganda uni dns lar zanjiri orqali borib oxirida ns.yaxshijoy.uz dan so'raganda, biz uni nomidan javob yo'llaymiz (haqiqiy javobdan oldin). Soxta javob www.yaxshijoy.uz ga soxta IP manzil (www.yomonjoy.uz ni manzili) mos keladigan qilib jo'natiladi. O'z navbatida ns1.nishon.uz olingan ma'lumotni o'z keshiga yozib qo'yadi va ma'lum vaqt orasida (bu vaqt javobdagi TTL – maydonida ko'rsatilgan bo'ladi) www.yaxshijoy.uz ni so'ragan barchaga www.yomonjoy.uz ning IP manzilini beraveradi.

Soxta javob ns1.nishon.uz tomonidan to'g'ri deb qabul qilinishi uchun bir nechta shartlar bajarilishi kerak:

- Soxta javobni jo'natuvchi IP manzili so'ralgan dns server IP manzili (ns.yaxshijoy.uz) bilan bir hil bo'lishi kerak. Yechimi: IP Spoofing, paketdagi jo'natuvchi IP manzilini almashtirib jo'natish (raw socket);

- Soxta javobdagi UDP port, so'rov jo'natilgan port bilan bir hil bo'lishi kerak (ya'ni ns1.nishon.uz ning DNS so'rov yuborgan portiga). Yechimi: odatda hozirda ishlatiladigan DNS-serverlar (BIND4, MSDNS) doim 53-portdan foydalanadi. Shuning uchun soxta javobni ushbu portga bemalol jo'natib ko'rish mumkin (har doim ham emas, masalan BIND8 chiquvchi port sifatida ihtiyoriy portdan foydalanishi mumkin);

- Soxta javob identifikatori so'rov identifikatori bilan mos kelishi kerak (identifikator paket ichida jo'natiladi);

- Soxta javob so'ralgan ma'lumotni o'z ichiga olishi kerak.

3.1-rasm DNS keshini zaharlash

DNS bilan bog'liq hujumlar qanday amalga oshiriladi?

DNS tizimlarining tahdidlarga juda moyil bo'lishining asosiy sababi shundaki, ular TCP ga qaraganda zaifroq bo'lgan UDP ustidan ishlaydi.DNSSEC - bu kuchli xavfsizlik protokoli, ammo afsuski, u hozircha hamma joyda qabul qilinmagan.DNS ko'pgina Internet so'rovlarining ajralmas qismi bo’lganligi sababli, DNSni zararli hujumlar uchun asosiy maqsadga aylantiradi. Hujumchilar DNS-serverlarni nishonga olish va ulardan foydalanishning bir qancha usullarini o’ylab topdilar. Bu yerda ularning eng keng tarqalgan turlari keltirilgan:

DNS-ga hujum qilishning bir necha yo'li mavjud. Birinchi usul-soro’vni egallash orqali soxta DNS serverni yaratish . Ushbu hujum tuzilishi juda oddiy.Xaker - bu tajovuzkor, jabrlanuvchining kompyuteridan DNS so'rovini kutadi. Tajovuzkor so'rovni qabul qilgandan so'ng, qabul qilingan so’rovdan so'ralgan xostning IP-manzilini chiqazib oladi. Keyin tajovuzkor maqsadli DNS-server deb da'vo qiladigan paket hosil qiladi. Javoblar paketini yaratish jarayoni oddiy: xaker foydalanuvchiga yolg’on javobning IP DNS maydoniga o’zining IP sini yozadi . Endi qurbonning kompyuteri tajovuzkorni haqiqiy DNS deb qabul qiladi. Mijoz boshqa paketni yuborganda, tajovuzkor undagi yuboruvchining IP-manzilini o'zgartiradi va DNS-ga yo'naltiradi. Natijada haqiqiy DNS-server so'rovlarni jabrlanuvchi emas, balki xaker amalga oshirmoqda deb o'ylaydi. Shunday qilib tajovuzkor foydalanuvchi va haqiqiy DNS-server o'rtasida vositachiga aylanadi. Bundan tashqari, xaker jabrlanuvchining so'rovlarini o'z xohishiga ko'ra o’zgartirishi va haqiqiy DNS-ga yuborishi mumkin. Ammo so'rovni faqat hujum qiluvchining qurilmasi asosiy trafik yo'lida yoki DNS-server segmentida bo'lgandagini qabul qilish mumkin.

3.2-rasm Dnsga hujum turlari

3.3-rasm Dnsga hujum turlari

Mijozning trafigiga kirish imkoni bo'lmasa, ikkinchi hujum usuli masofadan turib qo'llaniladi. Soxta javobni yaratish uchun bir necha bosqichlarni bajarish kerak. Birinchidan javob yuboruvchining IP-manzili DNS-server manziliga to'g'ri kelishi kerak. Keyin DNS javobida va so'rovda mavjud bo'lgan nomlarning mosligi. Bundan tashqari DNS javobi so'rov yuborilgan portga yuborilishi kerak. Nihoyat DNS javob paketida identifikator maydoni so'rovdagi identifikatorga mos kelishi kerak.Birinchi ikkita shartni bajarish oson. Ammo uchinchi va to'rtinchi shartlar qiyinroq.Ikkala shart ham :kerakli port va ID ni tanlanma usul orqali topsa bo’ladi . Shunday qilib xaker qurbonga hujum qilish uchun zarur bo'lgan hamma narsaga ega. Ushbu hujum mexanizmi quyidagicha ishlaydi. Jabrlanuvchi DNS-serverga so'rov yuboradi va serverdan javob kutish rejimiga o'tadi. Xaker so'rovni to'xtatib yolg'on javob paketlarini yuborishni boshlaydi. Natijada mijozning kompyuteriga turli xil yolg'on javoblar keladi, ulardan ID va port mos keladigan bitta raqamdan tashqari barchasi o'chiriladi. Istalgan javobni qabul qilib, mijoz soxta DNS-serverni haqiqiy deb qabul qila boshlaydi. O'z navbatida xaker har qanday manbaning IP-manzilini noto'g'ri DNS javobiga qo'yishi mumkin.

Uchinchi usul to'g'ridan-to'g'ri DNS-serverga hujum qilishga qaratilgan. Bunday hujum natijasida biron bir mijoz yolg'on IP-manzillarga emas, balki hujum qilingan DNS-ga kirgan barcha foydalanuvchilarga murojaat qiladi. Oldingi holatda bo'lgani kabi, hujum tarmoqning istalgan joyidan amalga oshirilishi mumkin. Mijoz DNS-serverga so'rov yuborganida, ikkinchisi o'z keshidan shunga o'xshash so'rovni qidirishni boshlaydi. Agar jabrlanuvchidan oldin hech kim bunday so'rovni yubormagan bo'lsa va u keshga kiritilmagan bo'lsa, server so'ralgan xostga mos keladigan IP-manzilni qidirib, tarmoqdagi boshqa DNS-serverlarga so'rov yuborishni boshlaydi.

Hujum qilish uchun xaker serverni tarmoqdagi boshqa tugunlarga murojaat qilishga va ulardan javob kutishga majbur qiladigan so'rov yuboradi. So'rov yuborilgandan so'ng, tajovuzkor DNS-ga soxta javob paketlari oqimi bilan hujum qilishni boshlaydi. Bu avvalgi uslubdagi vaziyatga o'xshaydi, ammo xaker portni tanlashi shart emas, chunki barcha DNS-serverlar maxsus 53-portda "aloqa qilishadi". Faqat identifikatorni topish qoladi. Server mos identifikatorga ega bo'lgan soxta javob paketini olganida, u tajovuzkorni DNS sifatida ko'rib chiqishni boshlaydi va mijozga hujum qiluvchi kompyuter tomonidan yuborilgan IP-manzilni beradi. Bundan tashqari, so'rov keshga kiritiladi va keyingi shunga o'xshash so'rovlar bilan foydalanuvchilar soxta IP-ga yo'naltiriladi.

DNSSEC nima?

DNSSEC-domen nomi xizmatining xavfsizlik modulidir.DNSSEC- har bir DNS so'rovining umumiy ma'lumotlarini bilmasdan ham DNS yozuvlarini tekshirish imkonini beradi

DNSSEC domen nomi so'rovining natijalari qabul qilinadigan manbadan olinganligini tasdiqlash uchun raqamli imzo kalitlarini (PKI) ishlatadi.

DNSSECNI joriy etish nafaqat eng yaxshi tanlov, balki DNS hujumlarining aksariyatini oldini olishda ham samarali yordam beradi.

DNSSEC ishlash prinsipi:

DNSSEC DNS yozuvlarini raqamli imzolash uchun ochiq va xususiy kalitlarni ishlatib, TLS/HTTPS kabi ishlaydi. Jarayonning umumiy ko'rinishi:

1.DNS yozuvlari bir juft yopiq va xususiy kalitlarga imzolanadi

2.DNSSEC so'rovlariga javoblar so'ralgan yozuvni, shuningdek imzo va umumiy kalitni o'z ichiga oladi

3.Keyinchali, ochiq kalit yozuvi va imzo haqiqiyligini solishtirish uchun ishlatiladi

3.4-rasm DNSSEC ishlash prinsipi

2020 yil iyun oyi o'rtalarida kiberxavfsizlik kompaniyasi EfficientIP DNS hujumlari to'g'risidagi hisobotni e'lon qildi, unga ko'ra Hindiston ushbu kiberhujumlar yuzaga kelishi bo’yicha yetakchiga aylandi. Mamlakatda bunday hujumlar eng ko'p qayd etilgan - har bir tashkilotga nisbatan 12,13, tacha va shu bois hind firmalari kamida 784 ming dollar yo'qotishgan.

Xakerlar hind kompaniyalarining qariyb 27 foiz mijozlarning maxfiy ma'lumotlarini o'g'irlab ketishgan.Hujumlar natijasida mamlakatda bulutli xizmatlarning ishlamay qolish vaqti 65 foizga yetdi.

IoT, Edge, SD-WAN va 5G kabi muhim IT tashabbuslari davrida DNS himoyasi xavfsizlik ekotizimida juda katta rol o'ynaydi ”, - deydi Raban Devid, EffektivIP strategiyasi vitse-prezidenti. - COVID-19 pandemiyasi ushbu muammolarni yanada kuchaytirdi, chunki har qanday tarmoq yoki dasturning ishlamay qolishi endi biznesga jiddiy ta'sir ko'rsatmoqda.

DNS-fayllarni buzish, shuningdek DNS-kesh bilan zaharlanish deb nomlanuvchi, bu kompyuter tarmog'idagi buzg'unchilikning bir turi bo'lib, unda domen nomlari keshi ma'lumotlari buzg'unchi tomonidan yolg'on IP-manzilni qaytarish uchun o'zgartiriladi. Bu tajovuzkorning kompyuteriga (yoki boshqa kompyuterga) vositachilar hujumiga olib keladi. Bunday hujumlarning oqibatlari kompaniyaning moliyaviy ahvolini jiddiy ravishda buzishi va hatto biznesni butunlay yo’q qilishi mumkin. Sharhlovchilar DNS xizmatining mavjudligi va yaxlitligini ta'minlash har qanday tashkilot uchun ustuvor vazifa bo'lishi kerak deb hisoblashadi.

Jahon miqyosida, tashkilotlarning 79 foizi ertami-kechmi DNS hujumlariga duchor bo'lgan, ularning har biri o'rtacha 924 ming dollar zarar ko’rgan, 2020 yilda har bir tashkilotga 9,5 ta hujum bo'lgan. Hisobotda bulutlarning to'xtab qolish vaqtidan ta'sirlangan korxonalar soni 2019 yildagi 41% dan 2020 yilda 50% gacha o'sganligi aniqlandi. Shu bilan birga, kompaniyalarning 25% DNS-trafigini tahlil qilmaydi.