Как стать автором
Обновить
5.07

DNS *

Domain Name System

Сначала показывать
Порог рейтинга
Уровень сложности

Инструмент для отслеживания DNS-запросов: dnspeep

Время на прочтение 6 мин
Количество просмотров 15K

Недавно я создала небольшой инструмент под названием dnspeep, который позволяет понять, какие DNS-запросы отправляет ваш компьютер и какие ответы он получает. Всего мой код занял 250 строк на Rust. В этой статье я расскажу о коде, объясню, для чего он нужен, почему в нём возникла необходимость, а также расскажу о некоторых проблемах, с которыми я столкнулась при его написании. И, конечно, вы сами сможете попробовать код в действии.

Читать далее
Всего голосов 22: ↑16 и ↓6 +10
Комментарии 10

Как хакеры подменяют DNS-запросы с помощью «отравления» кэша

Время на прочтение 10 мин
Количество просмотров 28K


Подмена сервера доменных имен (DNS) — это кибератака, с помощью которой злоумышленник направляет трафик жертвы на вредоносный сайт (вместо легитимного IP-адреса). Злоумышленники используют метод «отравления» кэша DNS для перехвата интернет-трафика и кражи учетных данных или конфиденциальной информации. Отравление кэша DNS и подмена DNS — тождественные понятия, часто используемые как синонимы. Хакер хочет обманом заставить пользователей ввести личные данные на небезопасном сайте. Как ему этого добиться? С помощью отравления кэша DNS. Для этого хакер подменяет или заменяет данные DNS для определенного сайта, а затем перенаправляет жертву на сервер злоумышленника вместо легитимного сервера. Таким образом хакер добивается своей цели, ведь перед ним открываются широкие возможности: он может совершить фишинговую атаку, украсть данные или даже внедрить в систему жертвы вредоносную программу.
Читать дальше →
Всего голосов 3: ↑2 и ↓1 +1
Комментарии 4

Разведка с geo2ip и reverse-whois

Время на прочтение 5 мин
Количество просмотров 9.3K

Разведка сетевых ресурсов компании главным образом заключается в брутфорсе поддоменов с последующим ресолвом найденных сетевых блоков. Далее могут быть найдены новые домены 2 уровня и процедура повторяется снова. Это позволяет найти новые IP-адреса на каждой итерации.

Этот метод, пожалуй, самый эффективный. Однако встречались такие ситуации, когда целая подсеть /24 оставалась не найденной.

В наши дни появилось еще одно мощное средство — passive dns, которое позволяет сделать то же самое что и классический DNS-ресолв, но используя специальный API. Это может быть, к примеру, «virustotal» или «passive-total». Эти сервисы записывают DNS запросы и ответы, которые собираются с популярных DNS-серверов. Преимущество этого подхода в том, что нам не нужен брутфорс. Мы просто указываем IP-адрес и получаем все известные DNS записи. Или, наоборот, указывая DNS мы получаем все IP-адреса, которые ассоциированы с данным именем. У данного подхода есть неоспоримое преимущество — мы можем найти старые сервера сайтов, которые ресолвились раньше. Ведь в конце концов старые сайты наиболее вероятно будут содержать уязвимости.

Несмотря на описанные выше техники существует еще несколько чуть менее популярных, но всё же дающих результаты. В данной статье мы рассмотрим ещё две методики разведки — поиск IP-адресов по географическим данным (geo2ip) и нахождение IP-адресов по имени компании (reverse-whois).

Geo2ip

Что такое geoip, думаю, знают многие из нас. Он используется достаточно часто как разработчиками, так и администраторами. Однако geoip используется главным образом в направлении ip → geo. В нашем же случае это не так интересно. Забавно, но перед тем, как разработать собственное решение, не было найдено ни одной библиотеки, позволяющей делать запросы в обратном направлении geo → ip. Поэтому было решено написать собственный инструмент, более того что реализуется это не так уж и сложно.

Читать далее
Всего голосов 15: ↑14 и ↓1 +13
Комментарии 1

Meshname – DNS судного дня

Время на прочтение 4 мин
Количество просмотров 13K

Параноики есть в каждом сообществе. Например, туристы порой превращаются в выживальщиков, постоянно готовящихся к БП – «Большому Происшествию», когда от их готовности будет зависеть жизнь родных, человечества в целом, и сохранность себя родимого. Нельзя однозначно заявить плохо это или хорошо, потому что не секрет, что БП застанет и тех, у кого не запасено 50 килограммов гречки, бензин и оружие. Среди опытных ай-тишников также развита профессиональная деформация личности, которая нередко подразумевает паранойю: тяжело спать спокойно, когда понимаешь технологии изнутри и хрупкость их бытия!

Эта статья посвящена альтернативной доменной системе, рассчитанной на случай глобальной сегментации интернета, катаклизмов, или возможных искусственных ограничений коммуникации. Не спешите с пренебрежительной ухмылкой. По аналогии с запасами выживальщика, эта информация не требует больших затрат, а в нужный момент сможет выручить!

Читать далее
Всего голосов 10: ↑10 и ↓0 +10
Комментарии 21

Истории

Путаница зависимостей. Как я взломал Apple, Microsoft и десятки других компаний

Время на прочтение 10 мин
Количество просмотров 15K

С тех пор как я начал учиться программировать, я восхищаюсь уровнем доверия, который мы вкладываем в простую команду, подобную этой:

pip install package_name

В некоторых языках программирования, таких как Python, это простой, более или менее официальный способ установки зависимостей для ваших проектов. Такие установщики обычно привязаны к публичным репозиториям кода, куда каждый может свободно загружать пакеты кода для использования другими пользователями.

Вы, наверное, уже слышали о таких инструментах — у Node есть менеджер npm и реестр npm, система управления пакетами pip языка Python использует PyPI (Python Package Index), а систему gems для языка Ruby можно найти… на сайте RubyGems.

Загрузив и установив пакет из любого из этих источников, вы, по сути, доверяете его издателю, запуская соответствующий код на своём компьютере. Так может ли эта слепая вера быть использована злоумышленниками?

Конечно, может.
Всего голосов 34: ↑29 и ↓5 +24
Комментарии 6

DNS-as-Code на базе dnscontrol

Время на прочтение 12 мин
Количество просмотров 5.3K

По роду своей деятельности я занимаюсь системным администрированием. Поскольку сам по себе я человек ленивый, я люблю максимально всё автоматизировать. Отсюда и любовь ко всяким средствам "Everything-as-Code".

Читать далее
Всего голосов 13: ↑13 и ↓0 +13
Комментарии 5

Битсквоттинг сайта Windows.com

Время на прочтение 7 мин
Количество просмотров 16K


Недавно я вернулся к мысли о возможности совершения битсквоттинга. В статье по ссылке эта тема рассматривается очень глубоко, поэтому здесь я объясню в очень общих чертах:

Когда вы пытаетесь получить доступ к сайту по его домену, этот домен хранится в памяти вашего компьютера, устройства и т.д. в структуре, выглядящей примерно так:

01110111 01101001 01101110 01100100 01101111 01110111 01110011
w i n d o w s

Теперь представим, что компьютер перегрелся, произошла вспышка на Солнце или космический луч (вполне реальная штука) инвертировал в компьютере значение одного бита.

01110111 01101000 01101110 01100100 01101111 01110111 01110011
w h n d o w s

О нет! Теперь в памяти хранится значение whndows.com, а не windows.com! Что же произойдёт, когда придёт время создания подключения к этому домену?

nslookup whndows.com

*** can’t find whndows.com: Non-existent domain

Домен не резолвится в IP-адрес!
Оказалось, что из 32 возможных доменных имён, находящихся в одной замене бита от windows.com, 14 имён были доступны для покупки! Это довольно редкий случай — обычно такие имена покупаются компаниями, например, Microsoft, чтобы предотвратить их использование в целях фишинга. Итак, я их купил. Все. Примерно за 126 долларов.
Читать дальше →
Всего голосов 68: ↑66 и ↓2 +64
Комментарии 30

Настройка собственного почтового сервера

Время на прочтение 7 мин
Количество просмотров 141K

Зачем нужен собственный почтовый сервер можно почитать в оригинальной статье. А поскольку на "habr" обретает надежду всяк сюда входящий, то далее пошаговая инструкция как сделать все настройки, чтобы почтовый сервер функционировал правильно: мог достучаться до любого адресата и сообщения не помечались как спам.

Читать далее
Всего голосов 28: ↑27 и ↓1 +26
Комментарии 123

Как я угнал национальный домен Демократической Республики Конго

Время на прочтение 5 мин
Количество просмотров 18K
Примечание: проблема решена. Сейчас национальный домен .cd уже не делегирует полномочия скомпрометированному нейм-серверу

TL;DR Представьте, что может произойти, если национальный домен верхнего уровня (ccTLD) суверенного государства попадет в чужие руки. Однако я (@Almroot) купил доменное имя, которое указано для делегирования NS в национальном домене Демократической Республики Конго (.cd), и временно принял более 50% всего DNS-трафика для этой TLD. На моём месте мог оказаться злоумышленник, который использовал бы эту возможность для MITM или других злоупотреблений.


Читать дальше →
Всего голосов 53: ↑51 и ↓2 +49
Комментарии 8

Цензура в интернете. Надо что-то делать

Время на прочтение 6 мин
Количество просмотров 34K

Интернет сегодня как воздух. Его никто не замечает и принимает как должное до тех пор, пока его кто-то не испортит или не отключат вовсе (привет горячему августу 2020 в РБ). В данной статье я расскажу, какие меры можно предпринять, имея в руках только браузер. Каждый инструмент вне браузера -- это тема для отдельной публикации

PS: а ещё вангую реакцию: "О, прикольно. Добавлю в закладки. Почитаю как-нибудь потом". Ага, когда интернет пропадёт?

Читать далее
Всего голосов 60: ↑46 и ↓14 +32
Комментарии 148

Ахтунг: «бесплатный» антивирус от RU-CENTER (NIC.RU)

Время на прочтение 1 мин
Количество просмотров 26K

Астрологи объявили очередной сезон развода на деньги клиентов RU-CENTER (nic.ru). Схема развода примитивна, неоднократно описана (в том числе здесь же на Хабре!), но может сработать при вашей невнимательности:

Читать дальше →
Всего голосов 85: ↑83 и ↓2 +81
Комментарии 80

NXNSAttack или что делать с DDoS-атакой, усиленной в 163 раза

Время на прочтение 3 мин
Количество просмотров 3.3K

В мае группа израильских исследователей сообщила о новой уязвимости DNS-серверов, которую можно использовать для усиления DDoS-атак. Авторы утверждают, что при атаке с помощью DNS-резолверов коэффициент амплификации пакетов (PAF) достигает 1621, а пропускной способности (BAF) — 163. Уязвимыми оказались все DNS-серверы с поддержкой рекурсивной обработки запросов, в т.ч. публичные Amazon, Google, Cloudflare, ICANN и Quad9. Мы разобрались, как осуществляется атака и как ей противостоять.

Читать далее
Всего голосов 4: ↑4 и ↓0 +4
Комментарии 0

Доменный регистратор, или Туда и обратно

Время на прочтение 7 мин
Количество просмотров 8K

В сентябре 2017 года в компании, где я работала, пошли разговоры о том, что планируется создание Доменного регистратора. Как очень молодой специалист (20 лет и начало 3 курса бакалавриата), я быстро распознала в нём проект, который может дать мне проявить себя. И к моему счастью, то ли в меня настолько поверили, то ли проект не посчитали перспективным, но он достался именно мне, почти целиком и полностью. На момент начала работы я предполагала, что материала будет мало даже для бакалаврского диплома. Я никогда так не ошибалась. Всё, начиная от понимания схемы работы системы, до её проектирования и написания, заняло очень много времени. Было переосмыслено много теории по Сетям, паттернам проектирования и вообще о работе.

Читать далее
Всего голосов 11: ↑10 и ↓1 +9
Комментарии 14

Ближайшие события

Московский туристический хакатон
Дата 23 марта – 7 апреля
Место
Москва Онлайн
Геймтон «DatsEdenSpace» от DatsTeam
Дата 5 – 6 апреля
Время 17:00 – 20:00
Место
Онлайн

Отказоустойчивый кластер с балансировкой нагрузки с помощью keepalived

Время на прочтение 15 мин
Количество просмотров 61K

Сегодня я расскажу о том, как быстро собрать отказоустойчивый кластер с балансировкой нагрузки с помощью keepalived на примере DNS-серверов.

Читать дальше →
Всего голосов 18: ↑17 и ↓1 +16
Комментарии 40

Namespace-децентрализация: кто и что предлагает делать

Время на прочтение 3 мин
Количество просмотров 2K
Основатели Namebase раскритиковали соц.сети и централизованные системы управления доменными именами. Посмотрим, в чем суть их собственной инициативы, и почему она нравится не всем.

Читать дальше →
Всего голосов 9: ↑9 и ↓0 +9
Комментарии 4

Конференция ENOG 17 состоится online

Время на прочтение 3 мин
Количество просмотров 423

В этом году ENOG17 и Региональная Встреча RIPE NCC будут проходить с 9 по 13 ноября в форме виртуального мероприятия.

Традиционно, главными темами ENOG являются технологии интернет, передовые подходы к управлению сетями, взаимодействие сетей, а также вопросы сотрудничества и координации между игроками рынка.

Подробности и приглашение докладчиков
Всего голосов 3: ↑3 и ↓0 +3
Комментарии 0

Руководство по безопасности DNS

Время на прочтение 6 мин
Количество просмотров 19K


Чем бы ни занималась компания, безопасность DNS должна являться неотъемлемой частью ее плана по обеспечению безопасности. Службы обработки имен, преобразовывающие имена сетевых узлов в IP-адреса, используются буквально всеми приложениями и службами в сети.

Если злоумышленник получит контроль над DNS организации, то сможет без проблем:
  • передать себе управление над ресурсами, находящимися в общем доступе
  • перенаправить входящие электронные письма, а также веб-запросы и попытки аутентификации
  • создавать и подтверждать сертификаты SSL/TLS

Данное руководство рассматривает безопасность DNS с двух сторон:
  1. Осуществление постоянного мониторинга и контроля над DNS
  2. Как новые протоколы DNS, такие как DNSSEC, DOH и DoT, способны помочь защитить целостность и конфиденциальность передаваемых DNS-запросов

Читать дальше →
Всего голосов 1: ↑1 и ↓0 +1
Комментарии 3
«Мой адрес не дом и не улица, Мой адрес сегодня такой: www.leningrad.spb.ru». В 2002 году всем было очевидно, что адрес интернет-сайта или электронной почты должен быть записан именно латиницей. Ну не бывает же не-ASCII-символов в названии домена! А сейчас возможны варианты. Уже 10 лет наряду с латинскими символами в доменах верхнего уровня используются символы национальных алфавитов: от китайских и корейских иероглифов до кириллицы и арабской вязи. Под катом — о том, как это стало возможным, как осуществляется поддержка символов Unicode в доменных именах, и как обстоят дела с кириллическими адресами в интернете.
Спойлер: всё хорошо
Всего голосов 51: ↑49 и ↓2 +47
Комментарии 81

Одна из функций Chromium создаёт огромную нагрузку на корневые DNS-серверы

Время на прочтение 6 мин
Количество просмотров 18K


Браузер Chromium, активно развивающийся open-source-родитель Google Chrome и нового Microsoft Edge, обратил на себя серьёзное негативное внимание из-за функции, которая задумывалась с благими намерениями: она проверяет, не «похищает» ли провайдер пользователя несуществующие результаты запросов доменов.

Intranet Redirect Detector, создающий поддельные запросы случайных «доменов», существование которых статистически маловероятно, ответственен примерно за половину общего трафика, получаемого корневыми DNS-серверами по всему миру. Инженер Verisign Мэтт Томас написал пространный пост в блоге APNIC с описанием проблемы и оценкой её масштаба.
Читать дальше →
Всего голосов 48: ↑48 и ↓0 +48
Комментарии 30

Что такое DNS-туннелирование? Инструкция по обнаружению

Время на прочтение 5 мин
Количество просмотров 23K


DNS-туннелирование превращает систему доменных имён в оружие хакеров. DNS – это, по сути, огромная телефонная книга интернета. А ещё DNS является базовым протоколом, позволяющим администраторам делать запросы в базу данных DNS-сервера. Пока вроде всё понятно. Но хитрые хакеры осознали, что можно скрытно общаться с компьютером-жертвой путём внедрения управляющих команд и данных в протокол DNS. Эта идея и лежит в основе DNS-туннелирования.
Читать дальше →
Всего голосов 12: ↑10 и ↓2 +8
Комментарии 0

Вклад авторов