Что такое доменная атака и как ее предотвратить?

Всегда говорят, что на войне все справедливо. Киберпреступники делают все возможное, чтобы выиграть кибервойну, применяя любые возможные средства для нападения на ничего не подозревающих жертв с целью кражи их данных. Они часто публикуют самые крупные аферы, чтобы скрыть свою личность и удивить вас такими методами, как атаки с перекрытием доменов.

Этот, казалось бы, надежный домен для доступа к вашей сети, в конце концов, может быть незаконным. Насколько вам известно, нападающий может быть впереди, чтобы поставить вас в трудный угол. Это известно как атака доменного фронта. Есть ли что-нибудь, что вы можете с этим поделать? Проверять Что такое домен-фронтинг?

Что такое доменная атака и как ее предотвратить? - защита

Что такое доменная атака?

В рамках регулирования Интернета некоторые страны ограничивают доступ граждан к определенному онлайн-контенту и веб-сайтам, блокируя трафик данных от пользователей на своей территории. Когда вы больше не можете получить доступ к этим обычно занесенным в черный список веб-сайтам, некоторые люди ищут несанкционированные способы доступа.

Фронтирование домена — это процесс, при котором пользователь скрывает свой домен, чтобы получить доступ к веб-сайту, доступ к которому ограничен в его регионе. С другой стороны, атака Domain Fronting — это процесс противодействия законному домену с помощью методов Domain Fronting для атаки на указанную сеть.

Изначально технология Domain Fronting не была кибератакой. Безобидные пользователи могут использовать его для обхода цензуры на определенных доменах, где они находятся. Например, в континентальном Китае, где YouTube запрещен, пользователь может использовать функцию «Переадресация домена» для доступа к YouTube в безвредных развлекательных целях, не подвергая риску чью-либо учетную запись. Но поскольку это был удобный способ обойти проверки безопасности, киберпреступники захватили его для корыстной выгоды, отсюда и фактор атаки. Проверять Что такое атака салями? Вы можете быть жертвой, и вы не знаете.

Как работает атака Domain Fronting?

Что такое доменная атака и как ее предотвратить? - защита

Чтобы обойти цензуру и географические ограничения, внешний представитель домена берет на себя личность законного пользователя Интернета, обычно из другого географического местоположения. Сеть доставки контента (CDN), репозиторий прокси-серверов по всему миру, играет важную роль в атаке Domain Fronting.

Когда вы хотите получить доступ к веб-сайту, вы запускаете следующие запросы:

  • DNS: Устройство для подключения к Интернету содержит IP-адрес. Этот адрес является уникальным и эксклюзивным для вашего устройства. Когда вы пытаетесь получить доступ к веб-сайту, вы запускаете запрос системы доменных имен (DNS), который преобразует ваше имя спермы в IP-адрес.
  • HTTP: HTTP-запрос связывает ваш запрос доступа с гипертекстом во Всемирной паутине (WWW).
  • ТЛС: Запрос Transport Layer Security (TLS) преобразует HTTP-команды в HTTPS посредством шифрования и защищает входные данные между веб-браузерами и серверами.

По сути, DNS преобразует доменное имя в IP-адрес, а IP-адрес работает с соединением HTTP или HTTPS. Преобразование вашего доменного имени в IP-адрес не меняет ваш домен; Он остается прежним. Но в Domain Fronting, в то время как ваш домен остается прежним в DNS и TLS, он меняется в HTTPS. Записи DNS показывают законный домен, но HTTPS перенаправляет на заблокированный домен.

Например, вы живете в стране, где сайт example.com заблокирован, но вы все равно хотите получить к нему доступ. Ваша цель — попасть на example.com, используя законный веб-сайт, такой как dz-techs.com. Запросы к DNS и TLS будут указывать на dz-techs.com, но ваше HTTPS-соединение будет указывать на example.com.

Технология Domain Fronting использует расширенную безопасность HTTPS для достижения успеха. Поскольку HTTPS зашифрован, он может обходить протоколы безопасности, не будучи обнаруженным.

Киберпреступники используют описанный выше сценарий для запуска атак с перекрытием доменов. Вместо того, чтобы использовать законный домен для доступа к веб-сайтам, заблокированным цензурой, они используют законный домен для кражи данных и выполнения вредоносных задач, связанных с ними.

Как предотвратить атаки доменного фронта

Что такое доменная атака и как ее предотвратить? - защита

Запуская атаки Domain Fronting, киберпреступники используют не только любые законные домены, но и домены с более высоким рейтингом. Это связано с тем, что такие домены имеют репутацию подлинных. Естественно, у вас не будет причин для подозрений, когда вы обнаружите законный домен в своей сети.

Вы можете предотвратить атаки с перекрытием домена следующими способами.

Установить прокси-сервер

Прокси-сервер — это посредник между вами (вашим устройством) и Интернетом. Это система безопасности, которая предотвращает прямой доступ пользователей к Интернету, тем более что пользовательский трафик может быть вредоносным. Другими словами, он фильтрует трафик для проверки векторов угроз, прежде чем допустить их в веб-приложение.

Чтобы предотвратить перенаправление домена, настройте прокси-сервер для перехвата всех соединений TLS и убедитесь, что заголовок хоста HTTP совпадает с переадресацией HTTPS. В зависимости от ваших настроек система откажет в доступе, если заметит несоответствие.

Избегайте висящих записей DNS

Все записи в вашем DNS должны направлять записи трафика на указанные каналы. Когда вы делаете запись, которую DNS не может обработать из-за отсутствия ресурса, у вас появляется висячая запись DNS.

Запись DNS зависает, если она неправильно настроена или устарела, и бесполезна для команд DNS. Это создает пространство для атак с перекрытием домена, поскольку злоумышленники используют записи для своих вредоносных действий.

Чтобы предотвратить приостановку записей DNS атаками с перекрытием домена, вы всегда должны содержать свои записи DNS в чистоте. Выполняйте регулярную санитарную обработку, чтобы проверять наличие старых и устаревших записей и удалять их. Вы можете использовать инструмент DNS Monitor для автоматизации процесса. Он создает список всех ваших активных ресурсов в записях DNS и выделяет неактивные ресурсы. Проверять Как ваш сервер может быть взломан: вот как.

Утверждение подписи кода

Подписание кода — это подписание программного обеспечения цифровыми подписями, такими как инфраструктура открытых ключей (PKI), чтобы показать пользователям, что приложение не повреждено. Основная цель подписи кода — убедить пользователей в том, что загружаемое ими приложение является подлинным.

Подписание кода позволяет вам подписывать доменное имя и другие ресурсы в ваших записях DNS, чтобы показать их целостность и создать между ними цепочку доверия. Система не будет проверять или обрабатывать любые ресурсы или заказы, на которых не напечатана авторизованная подпись. Проверять Что такое защита от мобильных рисков? Как обезопасить свой смартфон.

Внедрите модель безопасности с нулевым доверием для предотвращения атак с перекрытием домена.

Атаки с перекрытием доменов подчеркивают риски, связанные с трафиком доменных имен. Если хакер может использовать ряд законных платформ для взлома вашей системы, это показывает, что вы не можете доверять ни одной платформе.

Реализация безопасности с нулевым доверием — это путь. Убедитесь, что весь трафик в вашей сети проходит стандартные проверки безопасности, чтобы убедиться в его целостности. Вы можете просмотреть сейчас Как хакеры атакуют FTP-серверы и что можно сделать, чтобы предотвратить это?

Источник
Перейти к верхней кнопке