Что такое DNS Rebinding и как его предотвратить

Система доменных имен (DNS) является одной из основных технологий Интернета — она в фоновом режиме преобразует доменные имена в IP-адреса, что позволяет нам легко получать доступ к веб-сайтам и онлайн-сервисам. Однако такое удобство также несет в себе ряд рисков для безопасности, если им не управлять должным образом.

Особенно опасна атака, направленная на систему доменных имен, известная как DNS-ребайндинг.

В этой статье объясняется, что такое DNS-ребайндинг, почему он представляет серьезную угрозу для локальных сетей и как защитить свои системы от такого вида атак.

Понимание системы DNS 

Чтобы понять, как работает DNS-ребайндинг и как защититься от него, необходимо понимать основы системы доменных имен (DNS) и ее роль в интернет-коммуникации.

По сути, DNS — это иерархическая система имен, которая служит для преобразования доменных имен, понятных людям (таких как example.com), в IP-адреса, понятные машинам (такие как 93.184.216.34). Каждый раз, когда вы открываете веб-сайт, проверяете электронную почту или используете приложение, подключенное к Интернету, ваше устройство выполняет DNS-запрос, чтобы выяснить, куда следует отправить запрос.

Как работает DNS 

Когда отправляется DNS-запрос, он проходит через цепочку:

1. Сначала проверяется локальный кэш DNS. Если запись есть и не устарела, она возвращается немедленно.
2. Если ее нет в кэше, запрос отправляется в рекурсивный DNS-резолвер (который часто предоставляется вашим интернет-провайдером или публичной службой DNS, такой как Google DNS или Cloudflare).
3. Резолвер запрашивает авторитетные DNS-серверы в цепочке, начиная с корневых DNS-серверов, пока не получит правильный IP-адрес для домена.

Затем ответ возвращается клиенту и, как правило, кэшируется в течение определенного периода, который называется TTL (Time to Live).

Эта инфраструктура быстра и эффективна, но по сути основана на доверии. DNS не проверяет подлинность происхождения ответа, если не используются расширения безопасности, такие как DNSSEC.

Почему DNS часто становится мишенью для злоумышленников 

DNS работает на низком уровне стека Интернета и часто остается без внимания во время аудитов безопасности. Это предоставляет злоумышленникам многочисленные возможности для манипулирования трафиком, перехвата данных или проникновения в сети.

Хотя DNS разработан с учетом функциональности и скорости, он не был создан с учетом современных вызовов в сфере безопасности. По умолчанию DNS не проверяет ни целостность, ни подлинность ответов, что делает его уязвимым для манипуляций.

Поскольку DNS является настолько фундаментальной и надежной составляющей работы сети, злоумышленники часто используют его уязвимости для перехвата трафика, перенаправления пользователей или — в случае DNS-ребайндинга — побуждения браузеров устанавливать соединения, которые они обычно не разрешили бы.

DNS-Rebinding отличается тем, что атакует внутренние сети через внешние веб-сайты и фактически превращает браузер в прокси для атаки на локальные устройства.

Объяснение атак DNS-ребайндинга 

DNS-ребайндинг — это техника, которая позволяет вредоносному веб-сайту обойти политику Same-Origin браузера и взаимодействовать с частными IP-адресами или внутренними службами в сети пользователя.

Как это работает:

1. Пользователь посещает вредоносный веб-сайт, контролируемый злоумышленником, например attacker-site.com.
2. Веб-сайт предоставляет скрипт (обычно JavaScript), который пытается отправлять запросы к внутренним ресурсам, таким как 192.168.1.1 (локальный маршрутизатор).
3. Обычно браузер блокирует это благодаря политике Same-Origin, которая не позволяет скриптам одного домена получать доступ к контенту другого.
4. Однако злоумышленник использует перенаправление DNS, чтобы обмануть браузер. DNS-сервер для attacker-site.com изначально разрешается в публичный IP-адрес, на котором размещено веб-содержимое злоумышленника. После загрузки скрипта DNS-сервер злоумышленника изменяет запись A так, чтобы она указывала на частный IP-адрес, например 127.0.0.1 или устройство в локальной сети. Если браузер не проверяет границы происхождения должным образом, он позволяет скрипту отправлять запросы во внутреннюю систему, поскольку считает, что все еще общается с  attacker-site.com .

Это может предоставить злоумышленникам доступ к панелям администратора маршрутизатора, настройкам принтеров, устройствам Интернета вещей или даже внутренним API, которые не предназначены для общего доступа.

Проверенные методы предотвращения DNS-ребайндинга 

DNS-ребайндинг можно эффективно сдержать с помощью сочетания мер защиты на стороне клиента, настроек сети и укрепления безопасности приложений.

Защита на основе браузера

Современные браузеры имеют несколько встроенных механизмов защиты, таких как блокировка доступа к localhost или применение более строгих проверок происхождения. Однако они различаются в зависимости от браузера и не всегда являются абсолютно безопасными.

Пользователям следует поддерживать свои браузеры в актуальном состоянии, избегать посещения ненадежных веб-сайтов и использовать расширения или настройки браузера, ограничивающие JavaScript или домены сторонних разработчиков

Фильтрация DNS и защита от ребайндинга

Некоторые DNS-резолверы обеспечивают защиту от ребайндинга, блокируя ответы DNS, которые преобразуют внешние домены во внутренние IP-адреса. К ним относятся OpenDNS (Cisco Umbrella), NextDNS и Pi-hole (с настройками, заданными пользователем).

Защита веб-серверов и приложений

Внутренние службы никогда не должны полагаться исключительно на имена хостов. Веб-приложения и локальные API должны проверять заголовок Host и осуществлять аутентификацию даже для локальных запросов.

Другие меры:

• Привязка внутренних служб к localhost или исключительно внутренним интерфейсам
• Обязательная аутентификация для интерфейсов управления маршрутизаторами или IoT
• Использование нестандартных портов (не заменяет безопасность, но снижает риск)

Настройка сетевого брандмауэра и маршрутизатора

Эти меры обеспечивают:

• Блокировку исходящих DNS-запросов, кроме тех, что поступают через надежный резолвер
• Предотвращение того, чтобы внутренние устройства распознавали внешние имена хостов или реагировали на них
• Использование VLAN для отделения уязвимых устройств от общего пользовательского трафика

Отключение или ограничение выполнения JavaScript

На системах с высоким уровнем безопасности вы можете заблокировать JavaScript или разрешить его только с надежных доменов. Это полностью предотвращает выполнение вредоносных скриптов.