DNS ребайндинг

В этой статье расскажем об этапах атаки и её суть. А также немного о том, как атаку можно обнаружить и, самое главное, предотвратить.

Что такое DNS ребайндинг

Атака, при которой кибержулик использует уязвимости в политике одного источника браузеров. Как это происходит:

  1. Подготовка атаки

Злоумышленник регистрирует или использует контролируемый им домен и связывает его с сервером, который способен быстро изменять DNS-записи (дать разные IP-адреса для одного имени хоста). Давайте назовем этот домен julik.ru

  1. Жертва заходит на сайт (julik.ru).

  2. В браузер загружается автоматически злой скрипт

  3. Изменение DNS-записи

После загрузки скрипта → злоумышленник меняет DNS-запись для julik.ru так, чтобы она указывала на локальный IP-адрес жертвы (например, на роутер или умный пылесос).

  1. Вредоносные запросы

Вредоносный скрипт в браузере делает запросы к julik.ru, которые фактически переадресовываются на внутренний IP-адрес локальной сети жертвы. Например, скрипт может войти в консоль управления домашнего роутера.

Еще интересно в этой атаке — обход политики одного источника. Браузер всё ещё думает, что он взаимодействует с julik.ru, даже когда фактический IP-адрес домена изменился до локального. Так скрипт взаимодействует со всеми устройствами в сети жертвы. У последствий DNS ребайндинга сильный спектр: от изменения настроек на роутере до установки вредоносного программного обеспечения.

Можно ли заметить атаку?

Заметить DNS ребайндинг довольно сложно. Самый действенный вариант следить за подозрительными изменениями в DNS-запросах. Это, например, могут быть частые и быстрые смены IP-адресов для одного и того же доменного имени. Ещё можно использовать фаерволы для мониторинга входящего и исходящего трафика. Некоторые из них, кстати, могут блокировать запросы из браузера к локальным IP.

Как можно защититься?

— Используйте Public Suffix List для предотвращения установления cookies на верхнеуровневые домены публичных суффиксов (например, .co.uk). Это как минимум усложнит атаку. — Настройте внутренние серверы, чтобы они отклоняли запросы, исходящие из внешних источников.

— Используйте расширения браузера, которые блокируют подозрительный трафик или уведомляет о потенциально опасных изменениях. — Ну и база: обновляйте ПО и ОС.

Last updated