# DNS ребайндинг ### Что такое DNS ребайндинг Атака, при которой кибержулик использует уязвимости в политике одного источника браузеров. Как это происходит: 1. Подготовка атаки Злоумышленник регистрирует или использует контролируемый им домен и связывает его с сервером, который способен быстро изменять DNS-записи (дать разные IP-адреса для одного имени хоста). Давайте назовем этот домен julik.ru 2. Жертва заходит на сайт (julik.ru). 3. В браузер загружается автоматически злой скрипт 4. Изменение DNS-записи После загрузки скрипта → злоумышленник меняет DNS-запись для julik.ru так, чтобы она указывала на локальный IP-адрес жертвы (например, на роутер или умный пылесос). 5. Вредоносные запросы Вредоносный скрипт в браузере делает запросы к julik.ru, которые фактически переадресовываются на внутренний IP-адрес локальной сети жертвы. Например, скрипт может войти в консоль управления домашнего роутера. Еще интересно в этой атаке — обход политики одного источника. Браузер всё ещё думает, что он взаимодействует с julik.ru, даже когда фактический IP-адрес домена изменился до локального. Так скрипт взаимодействует со всеми устройствами в сети жертвы. \ \ У последствий DNS ребайндинга сильный спектр: от изменения настроек на роутере до установки вредоносного программного обеспечения. ### Можно ли заметить атаку? Заметить DNS ребайндинг довольно сложно. Самый действенный вариант следить за подозрительными изменениями в DNS-запросах. Это, например, могут быть частые и быстрые смены IP-адресов для одного и того же доменного имени. Ещё можно использовать фаерволы для мониторинга входящего и исходящего трафика. Некоторые из них, кстати, могут блокировать запросы из браузера к локальным IP. ### Как можно защититься? — Используйте Public Suffix List для предотвращения установления cookies на верхнеуровневые домены публичных суффиксов (например, `.co.uk`). Это как минимум усложнит атаку.\ \ — Настройте внутренние серверы, чтобы они отклоняли запросы, исходящие из внешних источников. — Используйте расширения браузера, которые блокируют подозрительный трафик или уведомляет о потенциально опасных изменениях.\ \ — Ну и база: обновляйте ПО и ОС.