07 Кві, 2023

Сервер доменних імен (DNS)

Penetration Testing as a service (PTaaS)

Tests security measures and simulates attacks to identify weaknesses.

Система доменних імен (DNS) це ієрархічна децентралізована система іменування комп'ютерів, служб або будь-якого ресурсу, підключеного до Інтернету або приватної мережі. Він пов'язує різну інформацію з доменними іменами, присвоєних кожному з об'єктів. DNS надає спосіб перетворення удобочитаемых доменних імен в машиночитані IP-адреси, дозволяючи користувачам отримувати доступ до ресурсів в Інтернеті, використовуючи імена, а не IP-адреси. DNS є важливою частиною інфраструктури Інтернету і використовується практично кожним додатком, що використовує Інтернет, включаючи веб-браузери, поштові клієнти і багато іншого.

Загальні порти DNS

UDP - порт 53: використовується для DNS-запитів та відповідей

TCP - порт 53: використовується для передачі зон DNS і великих запитів / відповідей, які не можуть поміститися в одну дейтаграмму UDP

Порт UDP/TCP 5353: використовується для виявлення служб багатоадресної розсилки DNS (mDNS) в невеликих мережах.

TCP - порт 853: використовується для DNS через TLS (DoT), протоколу DNS з підвищеною безпекою, який шифрує DNS-запити і відповіді для запобігання підслуховування і фальсифікації

Порт TCP/UDP 137: використовується для служби імен NetBIOS, застарілого застарілого протоколу для дозволу імен комп'ютерів Windows

Порт TCP/UDP 138: використовується для служби дейтаграм NetBIOS, іншого застарілого протоколу для мережевої взаємодії Windows

Порт TCP/UDP 139: використовується для сеансовой служби NetBIOS, ще одного застарілого протоколу для загального доступу до файлів і принтерів Windows

Порт TCP/UDP 445: використовується для обміну файлами з блокуванням повідомлень сервера (SMB) в мережах Windows, які також можуть використовуватися для атак з туннелированием DNS

Порт TCP/UDP 5355: використовується для LLMNR (Link-Local Multicast Name Resolution), протоколу для дозволу імен комп'ютерів в невеликих мережах, в яких немає DNS-сервера

Порт TCP/UDP 8080: використовується для HTTP-проксі-серверів, які можуть перехоплювати DNS-трафік і маніпулювати ним, а також для DNS-тунелювання за HTTP

Інструменти для використання протоколу DNS - сервер

Ручні Інструменти:

nslookup ( перегляд ): Інструмент командного рядка, який використовується для запиту DNS-серверів і отримання інформації про доменні імена і IP-адреси.

dig: Ще один інструмент командного рядка для запиту DNS-серверів і отримання записів DNS.

whois: Інструмент командного рядка, який використовується для отримання реєстраційної інформації для доменних імен.

host: Інструмент командного рядка, який використовується для виконання пошуку DNS і вилучення інформації DNS.

ping: Інструмент командного рядка, який використовується для перевірки мережевого з'єднання між двома пристроями.

traceroute: Інструмент командного рядка, який використовується для відстеження шляху мережевих пакетів між двома пристроями.

tcpdump: Інструмент командного рядка, який використовується для захоплення і аналізу мережевих пакетів.

Автоматизовані інструменти:

Nmap: Популярний мережевий сканер, який включає в себе можливості перерахування DNS.

DNSmap ( Карта DNSmap ): Інструмент для виявлення піддоменів і перерахування.

Fierce: Інструмент розвідки DNS, який може виявляти і зіставляти інформацію DNS для вашого домену.

Dnsenum: Інструмент для перерахування DNS, який може виявляти піддомени, доменні імена і IP-адреси DNS-серверів.

Dnswalk: Інструмент для тестування і аналізу переносу зон DNS.

Dnsrecon: Засіб перерахування DNS і збору інформації, яка може використовуватися для розвідки і сканування вразливостей.

Dns2tcp: Інструмент для тунелювання TCP-з'єднань через DNS.

Dnschef: DNS-проксі, який можна використовувати для тестування і зміни DNS-запитів і відповідей.

Dnsspider: Інструмент для перерахування доменних імен і виявлення піддоменів.

Massdns: Високопродуктивний розпізнавач DNS, який може використовуватися для рекогносцировки та виявлення піддоменів.

SubBrute: Інструмент для виявлення піддоменів DNS і перебору.

Aquatone: Інструмент для виявлення піддоменів і рекогносцировки DNS, який можна використовувати для створення скріншотів виявлених веб-сайтів.

Eyewitness: Інструмент для створення скріншотів веб-сайту, який може використовуватися спільно з інструментами DNS reconnaissance tools.

Корисна інформація

– Ієрархічний і децентралізований, з кореневих DNS-сервером на вершині ієрархії, за яким слідують сервери доменів верхнього рівня (TLD), авторитетні сервери імен і, нарешті, рекурсивні перетворювачі.

– Існує кілька типів записів DNS, включаючи записи A для IP-адрес, запис MX для поштових серверів, CNAME для псевдонімів і запису TXT для довільного тексту.

– Може бути уразливий для різних атак, включаючи підміну DNS, отруєння кеша DNS і атаки з посиленням DNS.

– DNSSEC - це розширення безпеки для DNS, яке забезпечує криптографічну аутентифікацію записів DNS.

– DNS-over-HTTPS (DoH) і DNS-over-TLS (DoT) - це протоколи шифрування для DNS, які забезпечують конфіденційність і безпеку.

– Найважливіший компонент Інтернету і використовується практично всіма мережевими пристроями.

– Журнали DNS можуть бути цінним джерелом інформації для мережевої криміналістики та моніторингу безпеки.

– DNS-трафік можна відстежувати і аналізувати за допомогою різних інструментів, включаючи tcpdump, Wireshark і Bro /Zeek.

Книги для навчання Керберос

“DNS and BIND (5th Edition)” автор: Крикет Лю – Ця книга охоплює історію, принципи проектування та функціонування DNS, а також використання DNS в таких додатках, як електронна пошта, служби каталогів і механізми безпеки.

“DNS Security: Defending the Domain Name System” Аллан Лиска і Джеффрі Стоу – Ця книга містить всебічний огляд загроз безпеки DNS і вразливостей, а також пропонує практичні рекомендації щодо забезпечення безпеки інфраструктури DNS.

"DNS на Windows Server 2003" автор: Крикет Лю – Ця книга присвячена впровадженню DNS в Windows Server 2003, включаючи встановлення, налаштування та усунення несправностей.

“DNS and BIND Cookbook” Крикет Ллю і Підлогу Альбиц – У цій книзі представлені практичні вирішення поширених проблем DNS, включаючи налаштування DNS, обслуговування та усунення несправностей.

“Pro DNS and BIND” автор: Рон Эйтчисон – У цій книзі розглядаються розширені розділи DNS, включаючи DNSSEC, IPv6 і балансування навантаження на основі DNS.

“DNS and BIND in a Nutshell” автор: Cricket Liu – Ця книга містить короткий огляд DNS і BIND, включаючи поради щодо налаштування та усунення несправностей.

“DNSSEC Mastery: Securing the Domain Name System with BIND” Майкл Ст. Лукас – Ця книга містить докладне керівництво по DNSSEC, включаючи налаштування та усунення несправностей за допомогою BIND.

“DNS & BIND Fundamentals” автор Айитей Буллі – Ця книга являє собою введення в DNS і BIND, включаючи термінологію DNS, концепції і роботу.

“DNS and BIND (4th Edition)” автор: Пол Альбиц і Крикет Лю – У цій книзі розглядаються принципи роботи DNS, а також даються практичні рекомендації з налаштування DNS, обслуговування та усунення несправностей.

“DNS and BIND: The Cricket Liu Guide” автор Cricket Liu – Ця книга містить докладне керівництво по DNS і BIND, включаючи архітектуру DNS, синтаксис файлів зон і розширені розділи DNS.

Список корисного навантаження для DNS

Шкідливі доменні імена: Зловмисники можуть використовувати доменні імена, схожі на законні, щоб обманом змусити користувачів відвідувати їх підроблені веб-сайти або проводити фішингові атаки.

Атаки з посиленням DNS: Зловмисники можуть використовувати неправильно налаштовані DNS-сервери для збільшення обсягу трафіку, спрямованого на мету, перевантажуючи її ресурси і викликаючи відмовлення в обслуговуванні.

Отруєння кеша DNS: Зловмисники можуть вводити неправдиву інформацію в кеш DNS-сервера, перенаправляючи користувачів на підроблений сайт або позбавляючи їх доступу до законних сайтів.

Зональні переклади: Зловмисники можуть використовувати запити на перенесення зони для отримання копії всього файлу зони DNS-сервера, що дає їм цінну інформацію про мережі і потенційних цілях.

Тунелювання DNS: Зловмисники можуть використовувати DNS-пакети для обхід брандмауерів і вилучення даних із скомпрометованою системи, що ускладнює їх виявлення і блокування.

DDoS-атаки: Зловмисники можуть запускати розподілені атаки типу "відмова в обслуговуванні" проти DNS-серверів, перевантажуючи їх трафіком і роблячи недоступними.

Перерахування піддоменів: Зловмисники можуть використовувати інструменти для пошуку піддоменів цільового домену, які можуть виявити додаткові поверхні атаки і потенційні уразливості.

Атаки DNSSEC: Зловмисники можуть використовувати уразливості в реалізаціях DNSSEC для порушення цілісності записів DNS і перенаправлення користувачів на шкідливі веб-сайти.

Зворотні DNS-атаки: Зловмисники можуть використовувати зворотний DNS для зіставлення IP-адрес з доменними іменами, потенційно розкриваючи конфіденційну інформацію про інфраструктуру мети.

Атаки методом грубої сили: Зловмисники можуть використовувати методи грубої сили для вгадування DNS-імен, IP-адреси та інших параметрів, що дозволяє їм виявляти потенційні цілі і слабкі місця в мережі.

Пом'якшення наслідків

  1. Розширення безпеки DNS (DNSSEC) - це набір протоколів, які використовуються для захисту протоколу DNS. DNSSEC додає цифрові підписи даних DNS для забезпечення їх автентичності та цілісності.

  2. DNS-фільтрація - це метод, який використовується для блокування доступу до шкідливим веб-сайтів. Цей метод використовується брандмауерами, маршрутизаторами та іншими пристроями безпеки для запобігання доступу користувачів до шкідливих сайтів.

  3. Обмеження швидкості - це метод, який використовується для обмеження кількості DNS-запитів, що сервер може отримувати з одного IP-адреси. Цей метод використовується для запобігання атак затоплення DNS.

  4. Правила брандмауера можна налаштувати для обмеження трафіку на DNS-сервери з них. Це може допомогти запобігти атаки на сервери DNS.

  5. Двофакторна аутентифікація може використовуватися для захисту доступу до DNS-серверів. Цей метод вимагає, щоб користувачі надали дві форми аутентифікації, перш ніж вони зможуть отримати доступ до DNS-сервера.

  6. Програмне забезпечення DNS повинно регулярно виправлятися для усунення відомих вразливостей. Це може допомогти запобігти використання зловмисниками відомих вразливостей.

  7. DNS-сервери повинні регулярно контролюватися для виявлення атак і реагування на них. Це може допомогти звести до мінімуму наслідки атак і запобігти майбутні атаки.

  8. Доступ до DNS-серверів повинен бути обмежений тільки авторизованим персоналом. Це може допомогти запобігти несанкціонований доступ до DNS-серверів.

  9. DNS-трафік повинен бути зашифрований, щоб запобігти підслуховування і атаки "людина посередині".

  10. DNS-сервери повинні бути налаштовані з резервуванням, щоб гарантувати, що DNS завжди доступні. Це може допомогти запобігти перебої в роботі DNS і забезпечити доступність служб DNS.

Висновок

DNS - це важливий протокол, який перетворює доменні імена в IP-адреси і є основоположним для належного функціонування Інтернету. Для захисту інфраструктури DNS від кібератак важливо впровадити такі заходи безпеки, як DNSSEC, брандмауери, системи виявлення / запобігання вторгнень, захищені протоколи і регулярні оновлення програмного забезпечення. Організації також повинні навчати персонал і проводити аудити безпеки для виявлення потенційних вразливостей і прогалин в інфраструктурі DNS. В цілому, безпеку DNS має вирішальне значення для загальної кібербезпеки, а також надійності і доступності онлайн-сервісів.

Інші Послуги

Готові до безпеки?

зв'язатися з нами