> For the complete documentation index, see [llms.txt](https://notes.kraken-security.ru/kraken/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://notes.kraken-security.ru/kraken/krupicy-znanii/uyazvimosti/dns-rebainding.md). # DNS ребайндинг ### Что такое DNS ребайндинг Атака, при которой кибержулик использует уязвимости в политике одного источника браузеров. Как это происходит: 1. Подготовка атаки Злоумышленник регистрирует или использует контролируемый им домен и связывает его с сервером, который способен быстро изменять DNS-записи (дать разные IP-адреса для одного имени хоста). Давайте назовем этот домен julik.ru 2. Жертва заходит на сайт (julik.ru). 3. В браузер загружается автоматически злой скрипт 4. Изменение DNS-записи После загрузки скрипта → злоумышленник меняет DNS-запись для julik.ru так, чтобы она указывала на локальный IP-адрес жертвы (например, на роутер или умный пылесос). 5. Вредоносные запросы Вредоносный скрипт в браузере делает запросы к julik.ru, которые фактически переадресовываются на внутренний IP-адрес локальной сети жертвы. Например, скрипт может войти в консоль управления домашнего роутера. Еще интересно в этой атаке — обход политики одного источника. Браузер всё ещё думает, что он взаимодействует с julik.ru, даже когда фактический IP-адрес домена изменился до локального. Так скрипт взаимодействует со всеми устройствами в сети жертвы. \ \ У последствий DNS ребайндинга сильный спектр: от изменения настроек на роутере до установки вредоносного программного обеспечения. ### Можно ли заметить атаку? Заметить DNS ребайндинг довольно сложно. Самый действенный вариант следить за подозрительными изменениями в DNS-запросах. Это, например, могут быть частые и быстрые смены IP-адресов для одного и того же доменного имени. Ещё можно использовать фаерволы для мониторинга входящего и исходящего трафика. Некоторые из них, кстати, могут блокировать запросы из браузера к локальным IP. ### Как можно защититься? — Используйте Public Suffix List для предотвращения установления cookies на верхнеуровневые домены публичных суффиксов (например, `.co.uk`). Это как минимум усложнит атаку.\ \ — Настройте внутренние серверы, чтобы они отклоняли запросы, исходящие из внешних источников. — Используйте расширения браузера, которые блокируют подозрительный трафик или уведомляет о потенциально опасных изменениях.\ \ — Ну и база: обновляйте ПО и ОС. --- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter: ``` GET https://notes.kraken-security.ru/kraken/krupicy-znanii/uyazvimosti/dns-rebainding.md?ask=&goal= ``` `ask` is the immediate question: it should be specific, self-contained, and written in natural language. `goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.