Отравление кэша DNS возвращается в виде Sad DNS

Атаки отравлением кэша серверов DNS, с помощью которых злоумышленники могли перенаправлять веб-браузеры с безопасных веб-сайтов на подделки, заполненные вредоносным кодом, были широко распространены лет десять назад.

Сегодня благодаря таким мерам, как рандомизация идентификатора запроса DNS и порта источника запроса DNS, аутентификация именованных объектов на основе DNS (DANE) и расширения безопасности системы доменных имен (DNSSE), такие атаки почти потеряли актуальность.

Но научная мысль не стоит на месте и старая, добрая атака отравлением кэша возвращается: исследователи из Калифорнийского университета в Риверсайде (UC Riverside) открыли очень простой способ атаки кэша DNS по побочным каналам. Эту технику, получившую название Sad DNS, несомненно, скоро возьмут на вооружение хакеры.

Авторы успешно применили свою атаку для взлома наиболее популярных программ DNS, включая BIND, Unbound и dnsmasq, работающих с Linux и другими операционными системами. Они обнаружили, что открытыми для атаки являются 85% популярных бесплатных служб DNS и 34% всех публичных резольверов DNS в Интернете, таких как 1.1.1.1 фирмы Cloudflare или 8.8.8.8 компании Google.

Проверить уязвимость своего сервера можно, следуя инструкциям на сайте Sad DNS. Закрыть её легче всего можно, запретив исходящие сообщения об ошибках Internet Control Message Protocol (ICMP), но за эту простоту придётся расплачиваться утратой некоторых возможностей диагностирования неполадок в сети.

Более системно эту и другие проблемы безопасности решит внедрение DNSSEC. Также поможет использование относительно новых DNS-куки RFC 7873 DNS.

Что касается пользователей, им рекомендуют соблюдать осторожность даже при посещении казалось бы надёжных веб-сайтов, вроде Amazon или своего локального банка.