SVEUCILIŠTE U ZAGREBUFAKULTET ELEKTROTEHNIKE I RACUNARSTVA

Seminarski rad u okviru predmeta „Racunalna forenzika“

2017/2018

Mrežni Napad DNS PoisoningMarko Jagodic

Voditelj: Predrag Pale

Zagreb, sijecanj 2018.

SADRŽAJ

1. Uvod 1

2. Važni pojmovi 22.1. Domain Name System . . . . . . . . . . . . . . . . . . . . . . . . . 2

2.2. DNS Upit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

2.3. DNS Odgovor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

3. Analiza 63.1. Napad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

3.2. Obrana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

4. Zakljucak 8

Popis slika 9

5. Literatura 10

6. Sažetak 11

ii

1. Uvod

DNS [2] (Domain Name System) Poisoning je još poznat kao DNS Spoofing napad.

To je napad koji iskorištava slabosti u sustavima koji koriste DNS kako bi preusmjerili

promet s korisniku ocekivanih stranica na lažne stranice.

Ovakva vrsta napada je jako opasna jer ne zahtijeva veliku propusnost mrežnog

sucelja napadaca. Zato svatko s racunalom može biti potencijalni napadac.

Kada je DNS server otrovan (eng. poisoned) postoji opasnost da se trovanje proširi

na druge DNS servere koji su u DNS hijerarhiji ispod onog servera koji je otrovan.

Napadaci koji koriste ovu vrstu napada preusmjeravaju sa legitimne stranice na

lažne stranice kako bi izvršili napad MITM (eng. man in the middle) te pokrali koris-

nicke podatke ili napravili nekakvu drugaciju vrstu prijevare.

1

2. Važni pojmovi

2.1. Domain Name System

Domain Name System [4] ili DNS nastao je zato što je ljudima bilo teško pamtiti nu-

mericke IP adrese pa je nastao sustav koji pretvara tekstualnu odnosno covjeku citljivu

adresu u numericku IP adresu odnosno racunalu citljivu IP adresu.

Slika 2.1: Slika prikazuje koju radnju DNS serveri obicno izvršavaju

Kako DNS pretvorba iz tekstualne u numericku IP adresu bi bila što brža potrebno

je imati predmemoriranje cestih upita. Kako bi se sprijecilo ponavljanje upita DNS

serverima i smanjilo opterecenje na svakom od DNS servera u hijerarhiji koristi se

predmemoriranje. Svako racunalo ima predmemoriranje DNS upita, od osobnog racu-

nala pa sve do DNS servera pa se zato na svim razinama koristi predmemoriranje.

2

Slika 2.2: Slika prikazuje radnju DNS servera i njihovu pojednostavljenu hierarhiju

2.2. DNS Upit

DNS upit je vrsta poruke koja se može poslati DNS serveru, a ona predstavlja zahtjev

za pretvaranje covjeku citljive IP adrese u numericku IP adresu koja je više prikladna

racunalima.

3

Slika 2.3: Slika prikazuje sastav DNS upita

Kao što slika 2.3 pokazuje vidi se da DNS upit koristi UDP protokol kao nositelj za

svoje DNS poruke. Vidimo dakle da DNS upiti šalju se nezašticeni. Zbog nezaštice-

nosti podataka lako se vidi da bilo koji dio DNS upita ili bilo koji dio protokola ispod

DNS protokola se lako može falsificirati.

2.3. DNS Odgovor

DNS odgovor takoder je nezašticen i ima jednake probleme kao i DNS upit. Taj pro-

blem je lakoca falsificiranja odgovora.

4

Slika 2.4: Slika prikazuje od cega se sastoji DNS odgovor

Na slici 3.1 vidimo da za jedan upit možemo dobiti više odgovora ovisno o tome

kakva je konfiguracija DNS servera.

5

3. Analiza

3.1. Napad

[1] Žrtva u prvom koraku želi pristupiti www.fer.hr web stranici kada to cini u slucaju

da njegova DNS predmemorija nema zapisa o www.fer.hr tada racunalo žrtve šalje

DNS upit. Dok se taj proces dohvacanja zbiva napadac je strpljivo cekao kako bi tocno

u trenutku žrtvina zahtijeva za stranicom www.fer.hr napravio napad. Tako da žrtvino

racunalo preplavi s lažnim odgovorima DNS servera. To je moguce jer DNS protokol

nije siguran pa svaki dio može biti jednostavno falsificiran.

Ako je lažirani odgovor od napadaca stigao na žrtvino racunalo prije pravog odgo-

vora. Tada ce žrtvino racunalo u svoju DNS predmemoriju dodati par url i ip adresa.

U slucaju uspješnog napada taj par url i ip adresa bit ce lažni. Tako žrtva je bez svoga

znanja preusmjerena na lažni server na kojemu se žrtvi kradu osobni podaci.

Detaljnije napadac kada izvršava napad zapravo mijenja DNS paket na nacin da

promjeni izvorišnu IP adresu da odgovara IP adresi DNS servera kojem je žrtva poslala

zahtjev. Nakon toga napadac priprema DNS odgovor koji za traženu web lokaciju žrtvi

daje IP adresu lažnog racunala. Te šalje jako puno takvih odgovora žrtvi ako samo

jedan od njih bude prihvacen napad je uspješno obavljen.

Slika 3.1: Slika prikazuje skicu napada

6

3.2. Obrana

Lijek za ovaj problematicni mrežni napad jest korištenja sigurne verzije DNS proto-

kola. Koja koristi kriptografiju javnog kljuca za digitalno potpisivanje DNS odgovora i

DNS zahtijeva. Takav protokol sprjecava bilo kakvu promjenu DNS poruke odgovora

ili zahtijeva na putu od servera do klijenta. Protokol koji nam omogucava suzbijanje

ovog nezgodnog napada zove se DNSSEC [3] što je skracenica od (eng. Domain Name

System Security Extensions)

7

4. Zakljucak

Na prvi pogled ovaj napad može nam dici kosu na glavi no postoji rješenje koje rje-

šava ovaj sigurnosni problem. Ovaj napad još uvijek može biti uspješan jer skupo je

investirati u opremu koja podržava DNSSEC protokol. Kako cijena ne investiranja u

sigurnost raste cijeli sustav konvergira prema tome da svi koriste DNSSEC protokol.

To je dobra vijest jer ovakav napad ne zahtijeva puno resursa za izvedbu a njegove

posljedice mogu biti kobne za obicne korisnike i velike kompanije. Jer velikim kom-

panijama odredene vrste podataka su im od velike važnosti a ovakav napad stavlja

sigurnost tih podataka u pitanje. U buducnosti ce ovakvu vrstu napada biti jako teško

izvesti pa gotovo i nemoguce što je dobra vijest za buducnost.

8

POPIS SLIKA

2.1. Slika prikazuje koju radnju DNS serveri obicno izvršavaju . . . . . . 2

. https://www.quora.com/What-is-a-reverse-DNS-query

2.2. Slika prikazuje radnju DNS servera i njihovu pojednostavljenu hierarhiju 3

. http://xmodulo.com/how-dns-works.html

2.3. Slika prikazuje sastav DNS upita . . . . . . . . . . . . . . . . . . . . 4

. http://www.firewall.cx/networking-topics/protocols/

domain-name-system-dns/160-protocols-dns-query.

html

2.4. Slika prikazuje od cega se sastoji DNS odgovor . . . . . . . . . . . . 5

. http://www.firewall.cx/networking-topics/protocols/

domain-name-system-dns/161-protocols-dns-response.

html

3.1. Slika prikazuje skicu napada . . . . . . . . . . . . . . . . . . . . . . 6

. https://www.ipa.go.jp/security/english/vuln/200809_

DNS_en.html

9

5. Literatura

[1] . URL https://www.ipa.go.jp/security/english/vuln/

200809_DNS_en.html.

[2] . URL https://www.howtogeek.com/161808/

htg-explains-what-is-dns-cache-poisoning/.

[3] . URL https://en.wikipedia.org/wiki/Domain_Name_System_

Security_Extensions.

[4] . URL http://xmodulo.com/how-dns-works.html.

10

6. Sažetak

U ovom radu obradena je tema koja se bavi napadom na racunalne mreže. Napad se

zove DNS poisoning. Napad je opasan jer ne zahtijeva puno resursa od strane napa-

daca. Napad iskorištava nesigurnosti u strukturi protokola koji su ispod DNS protokola

jer oni ne osiguravaju sigurnost podataka. Rješenje problema je pronadeno korištenjem

DNSSEC protokola. Koji je zapravo sigurna verzija DNS protokola koja štiti podatke

od falsificiranja i njihov integritet. Koristeci kriptografiju javnog kljuca.

11