ハッカーがキャッシュをポイズニングしてDNSリクエストをスプーフィングする方法

ドメインネームサーバー（DNS）スプーフィングは、攻撃者が被害者のトラフィックを（正当なIPアドレスではなく）悪意のあるサイトに誘導するサイバー攻撃です。攻撃者はDNSキャッシュポイズニングを使用してインターネットトラフィックを傍受し、資格情報や機密情報を盗みます。 DNSキャッシュポイズニングとDNSスプーフィングは同じ概念であり、多くの場合同義語として使用されます。ハッカーは、ユーザーをだまして安全でないWebサイトに個人情報を入力させたいと考えています。彼はどうやってこれを達成することができますか？ DNSキャッシュをポイズニングする。これを行うには、ハッカーは特定のサイトのDNSデータをスプーフィングまたは置換してから、被害者を正当なサーバーではなく攻撃者のサーバーにリダイレクトします。したがって、ハッカーは彼の目標を達成します。なぜなら、彼の前に幅広い機会が開かれるからです。 フィッシング攻撃を実行したり、データを盗んだり、被害者のシステムにマルウェアを注入したりします。

DNSスプーフィングとキャッシュポイズニングとは何ですか？

DNSキャッシュポイズニングについて説明する前に、まずDNSとDNSキャッシングとは何かを見てみましょう。 DNSは、IPアドレスとドメイン名の世界的なディレクトリです。これは一種のインターネット電話帳と言えます。 DNSは、varonis.comのようなユーザーフレンドリーなアドレスを92.168.1.169のようなIPアドレスに変換します。これは、コンピューターがネットワーク上で動作するために使用します。 DNSキャッシングは、世界中のDNSサーバーにアドレスを保存するためのシステムです。 DNSクエリの処理を高速化するために、開発者は分散DNSシステムを作成しました。各サーバーは、キャッシュと呼ばれる、認識しているDNSレコードのリストを保持しています。最寄りのDNSサーバーに目的のIPアドレスがない場合は、アクセスしようとしているWebサイトのアドレスが見つかるまで、アップストリームDNSサーバーにクエリを実行します。次に、DNSサーバーはこの新しいエントリをキャッシュに保存して、次回の応答を高速化します。

DNSキャッシュポイズニングの例と結果

DNSの概念は、現代のインターネットの詳細に合わせて調整されていません。もちろん、DNSは時間の経過とともに進化してきましたが、今でも1つの誤って構成されたDNSサーバーを使用して、何百万ものユーザーに影響を感じさせるだけで十分です。例-ウィキリークスへの攻撃 攻撃者がDNSキャッシュポイズニングを使用してトラフィックを傍受し、サイトの独自のクローンにリダイレクトした場合。この攻撃の目的は、トラフィックをウィキリークスから迂回させることであり、ある程度の成功を収めました。DNSキャッシュポイズニングは、一般ユーザーが検出するのは簡単ではありません。DNSは現在信頼に基づいて構築されており、これが弱点です。人々はDNSを信頼しすぎて、ブラウザのアドレスが本当に必要なものと一致するかどうかを決してチェックしません。攻撃者は、この不注意と不注意を利用して、資格情報やその他の重要な情報を盗みます。

DNSキャッシュポイズニングはどのように機能しますか？

DNSキャッシュをポイズニングするということは、あなたに最も近いDNSサーバーに、間違ったアドレスにあなたを送るレコードが含まれていることを意味します。これは通常、攻撃者によって制御されます。攻撃者がDNSキャッシュをポイズニングするために使用する手法は多数あります。

ARPスプーフィングを使用したLANトラフィックの傍受

ローカルネットワークがいかに脆弱であるかに驚かれることでしょう。多くの管理者は、考えられるすべてのアクセスをブロックしているので安心できますが、ご存知のように、詳細には悪魔がいます。



一般的な問題の1つは、 リモートで作業する従業員です。 Wi-Fiネットワークが保護されていることをどのように確認できますか？ ハッカーは、弱いWi-Fiパスワードを数時間で解読できます。



もう1つの問題は、イーサネットポートが開いていることです。 廊下、ロビー、その他の公共の場所にいるすべての人がアクセスできます。想像してみてください。訪問者は、ロビーディスプレイ用のデバイスにイーサネットケーブルを接続できます。ハッカーは、上記のいずれかの方法で取得したローカルネットワークへのアクセスをどのように使用できますか？まず、彼はフィッシングページを作成して、資格情報やその他の貴重な情報を収集できるようになります。次に、ローカルネットワークまたはリモートサーバーのいずれかでこのサイトをホストできます。このために必要なのは、1行のPythonコードだけです。その後、ハッカーはBetterrcapなどの特別なツールを使用してネットワークをスパイし始めることができます。この時点で、ハッカーはネットワークを調べて偵察を行いますが、トラフィックはまだルーターを通過しています。攻撃者は、アドレス解決プロトコル（ARP）を改ざんして、ネットワークの構造を内部から変更する可能性があります。 ARPは、デバイスのMACアドレスをネットワーク上のIPアドレスに関連付けるためにネットワークデバイスによって使用されます。 Bettercapはメッセージを送信し、ネットワーク上のすべてのデバイスにハッカーのコンピューターをルーターと見なすように強制します。このトリックを使用すると、ハッカーはルーターを通過するすべてのネットワークトラフィックを傍受できるようになります。トラフィックがリダイレクトされると、攻撃者はBettercapモジュールを起動してDNSをスプーフィングできます。このモジュールは、ターゲットドメインへの要求を検索し、被害者に誤った応答を送信します。誤った応答には、攻撃者のコンピュータのIPアドレスが含まれており、ターゲットサイトへのすべての要求が、攻撃者によって作成されたフィッシングページにリダイレクトされます。ハッカーは、ネットワーク上の他のデバイス宛てのトラフィックを確認します。入力された資格情報を収集し、悪意のあるダウンロードを挿入します。

ハッカーがローカルネットワークにアクセスできない場合、ハッカーは次のいずれかの攻撃に訴えます。

誕生日攻撃で答えを偽造する

DNSは再帰クエリへの応答を認証しないため、最初の応答がキャッシュされます。攻撃者は、いわゆる誕生日のパラドックスを使用して、偽の応答を予測して要求者に送信しようとします。誕生日攻撃は、数学と確率論を使用して予測し ます。この場合、攻撃者はDNS要求のトランザクションIDを推測しようとします。成功した場合、正当な応答の前に偽のDNSレコードがあなたに届きます。誕生日攻撃が成功することは保証されていませんが、最終的には攻撃者は偽の応答をキャッシュすることができます。攻撃が成功すると、ハッカーは偽のDNSレコードからDNSレコードのライフサイクル（TTL）の終わりまでのトラフィックを確認できるように なります。..。

誕生日攻撃のバリエーションです。この脆弱性を発見したDanKaminskyは、2008年のBlackHatカンファレンスで最初に発表しました。このエクスプロイトの本質は、ハッカーが最初に存在しないドメイン（fake.varonis.comなど）に対してDNSリゾルバー要求を送信することです。このような要求を受信した後、DNSリゾルバーはそれを権限のあるネームサーバーにリダイレクトして、偽のサブドメインのIPアドレスを取得します。この時点で、攻撃者は、これらの偽の応答の1つが元の要求のトランザクションIDと一致することを期待して、膨大な数の偽の応答でDNSリゾルバーを圧倒します。成功した場合、ハッカーは、たとえばvaronis.comの例のように、DNSサーバーキャッシュ内のIPアドレスをスプーフィングします。リゾルバーは、偽のvaronis.comIPアドレスが本物であるというすべての要求者に引き続き応答します。DNSレコードの有効期限が切れるまで。

DNS?

DNSキャッシュがポイズニングされているかどうかを検出するにはどうすればよいですか？これを行うには、攻撃の可能性の兆候がないかDNSサーバーを監視する必要があります。ただし、このような大量のDNS要求を処理するための計算能力は誰にもありません。最善の解決策は、データセキュリティ分析をDNS監視に適用することです。これにより、通常のDNSの動作と悪意のある攻撃が区別されます。

•1つのドメインに対する1つのソースからのDNSアクティビティの突然の増加は、誕生日攻撃の可能性を示しています。

•再帰なしでDNSサーバーに複数のドメイン名を照会する単一のソースからのDNSアクティビティの増加は、後続のポイズニングのためにレコードを選択しようとしていることを示しています。

に加えて DNS監視では、異常なアクティビティを時間内に検出するために、ActiveDirectoryイベントとファイルシステムの動作も監視する必要が あります。さらに良いことに、分析を使用して、3つのベクトルすべての間の関係を見つけます。これにより、サイバーセキュリティ戦略を強化するための貴重なコンテキスト情報が提供されます。

DNSキャッシュポイズニングから保護する方法

監視と分析に加えて、DNSサーバーの設定を変更できます。

• 再帰クエリを制限して、潜在的なターゲットキャッシュポイズニングを防ぎます。
• 要求されたドメインに関連するデータのみを保存します。
• 応答を、要求されたドメインに関連するものだけに制限します。
• クライアントにHTTPSプロトコルの使用を要求します。

最新のBINDおよびDNSソフトウェアを使用していることを確認してください。これにより、最新の脆弱性がすべて修正されます。可能であれば、たとえばリモートワーカーの場合は、すべてのリモートコンピューターがVPN経由で接続されるように調整します。これにより、トラフィックとDNS要求がローカルでスヌーピングされるのを防ぎます。さらに、リスクを軽減するために、Wi-Fiネットワーク用の強力なパスワードを作成するよう従業員に奨励してください。



最後に、暗号化されたDNSクエリを使用します。 ドメインネームサービスセキュリティモジュール（DNSSEC）スプーフィングを防ぐために署名されたDNSクエリを使用するDNSプロトコルです。 DNSSECを使用する場合、DNSリゾルバーは承認されたDNSサーバーで署名を検証する必要があります。これにより、プロセス全体の速度が低下します。その結果、DNSSECはまだ広く受け入れられていません。



DNS over HTTPS（DoH）および DNS over TLS（DoT）はDNSの次のバージョンの競合する仕様であり、DNSSECとは異なり、速度を犠牲にすることなくDNSクエリを保護するように設計されています。ただし、これらのソリューションは、DNSの速度を低下させたり、ローカルでの監視と分析を完全に不可能にしたりする可能性があるため、理想的ではありません。 DoHとDoTは、ネットワークに設定されているペアレンタルコントロールやその他のDNSレベルのブロックをバイパスできることに注意してください。とにかく、Cloudflare、Quad9、およびGoogleには、DoTをサポートするパブリックDNSサーバーがあります。多くの新しいクライアントはこれらの最新の標準をサポートしていますが、サポートはデフォルトで無効になっています。詳細については、DNSセキュリティに関する投稿をご覧ください 。



DNSスプーフィングは、サイトの正当なIPアドレスをハッカーのコンピューターのIPアドレスに置き換えます。エンドユーザーの観点から、彼はブラウザに完全に通常のWebサイトのアドレスを入力するため、置換を検出することは非常に困難です。それにもかかわらず、そのような攻撃は止めることができます。リスクは、たとえばVaronisからのDNS監視、およびDNS over TLS（DoT）暗号化標準を使用することで軽減できます 。

キャッシュポイズニング：よくある質問

一般的なDNSスプーフィングの質問と回答を確認してください。

DNSキャッシュポイズニングとDNSキャッシュスプーフィング（スプーフィング）は同じですか？

はい、同じタイプのサイバー攻撃は、キャッシュポイズニングおよびキャッシュスプーフィングと呼ばれます。

DNSキャッシュポイズニングはどのように機能しますか？

キャッシュポイズニングは、DNSサーバーをだまして偽のDNSレコードを格納させます。その後、トラフィックはハッカーが選択したサーバーにリダイレクトされ、そこでデータが盗まれます。

DNSキャッシュポイズニングから保護するためにどのようなセキュリティ対策を適用できますか？

サイト所有者は、監視と分析を実行してDNSスプーフィングを検出できます。 DNSサーバーを更新して、ドメインネームシステムセキュリティモジュール（DNSSEC）や、DNS overHTTPSやDNSoverTLSなどの別の暗号化システムを使用することもできます。 HTTPSなどの完全なエンドツーエンド暗号化を広く使用することで、DNSスプーフィングを防ぐこともできます。クラウドアクセスセキュリティブローカー（CASB）は、これらの目的に非常に役立ちます。エンドユーザーは、ブラウザのDNSキャッシュを定期的にフラッシュするか、安全でないネットワークまたはパブリックネットワークに接続した後に、なりすましの可能性のあるDNSキャッシュをフラッシュできます。 VPNを使用すると、ローカルネットワークでのDNSスプーフィングから保護できます。疑わしいリンクは避けてください。これにより、ブラウザのキャッシュを汚染するリスクを回避できます。

キャッシュポイズニング攻撃に見舞われたかどうかをどのように確認できますか？

DNSキャッシュがポイズニングされると、検出が困難になります。より良い戦術は、データを監視し、マルウェアからシステムを保護して、DNSキャッシュポイズニングによるデータ漏洩から身を守ることです。インタラクティブなサイバー攻撃ラボにアクセスして、 DNSモニタリングを使用して実際のサイバーセキュリティの脅威を検出する方法を確認してください。

DNS通信はどのように機能しますか？

エンドユーザーがVaronis.comなどのURLをブラウザーに入力すると、次のことが発生します。

1. ブラウザはまず、ローカルキャッシュですでに保存されているDNSデータを確認します。
2. このデータが欠落している場合は、アップストリームDNSサーバー（通常はローカルネットワーク上のルーター）にクエリを実行します。
3. DNS, , DNS, Google, Cloudflare Quad9.
4. DNS- .
   
   4.1. , DNS-, DNS « .com».
   
   4.2. .com, « Varonis.com», URL.
   
   4.3. « IP- Varonis.com», IP- .
5. DNSデータは、エンドユーザーのデバイスに到達するまでチェーンの上流に送り返されます。ルート全体に沿って、各DNSサーバーは受信した応答を独自のキャッシュに書き込んでさらに使用します。

攻撃者はどのようにしてDNSキャッシュを汚染しますか？

キャッシュをポイズニングする方法はたくさんありますが、最も一般的な方法は次のとおりです。被害者に、埋め込まれたコードを使用してユーザーのブラウザのDNSキャッシュを変更する悪意のあるリンクをクリックさせる。「中間者攻撃」を使用してローカルDNSサーバーをハッキングする。前述の「中間者攻撃」は、アドレス解決プロトコル（ARP）スプーフィングを使用して、DNS要求を攻撃者が制御するDNSサーバーにリダイレクトします。

DNSキャッシュポイズニングとは何ですか？

DNSキャッシュポイズニングは、DNSデータベースのエントリをIPアドレスに置き換えて、攻撃者によって制御される悪意のあるサーバーにつながる行為です。

DNSスプーフィングはどのように実行されますか？

ハッカーは、アクセスを取得してDNSキャッシュを変更するか、DNSクエリを自分のDNSサーバーにリダイレクトすることにより、DNSスプーフィング攻撃を実行します。

DNSスプーフィングとは何ですか？

DNSスプーフィングとは、ユーザーがvaronis.comなどのブラウザに入力したURLが、実際にはそのURLに関連付けられた正しい公式IPアドレスにつながっていないことを意味します。代わりに、ユーザーはハッカーによって制御されている悪意のあるサーバーにリダイレクトされます。

DNSスプーフィングが危険なのはなぜですか？

DNSスプーフィングは、その性質上、ドメインネームシステム（DNS）が信頼できると考えられているため危険です。そのため、DNSスプーフィングは、いかなる種類の暗号化によっても保護されていないことがよくあります。これにより、ハッカーはDNSキャッシュ内のレコードをスプーフィングして、データをさらに盗み、マルウェアを注入し、フィッシングを行い、更新をブロックする可能性があります。

DNSスプーフィング攻撃によって引き起こされる主な脅威は、フィッシングページを介したデータの盗難です。さらに、本物のように見えるダウンロード可能なファイルを装ってマルウェアが導入されるリスクがあります。また、システムがインターネット経由で更新された場合、攻撃者はDNSレコードを変更して更新をブロックし、目的のサイトに誘導されないようにすることができます。