अपना पासवर्ड भूल गए
नया यूजर
डीएनएस स्पूफिंग
Last Updated on:
Sep 21, 2010 05:40 PM
DNS एक डोमेन नाम प्रणाली है, जिसमें अन्य सभी वेबसाइटों का नाम और उनका आईपी पता अभिलेख/रिकार्ड के रूप में है जिसे इंटरनेट में एक सोपानक्रमित स्वरूप में ढंग से रखा जाता है। जब कभी भी एक ग्राहक एक विशेष वेबसाइट जैसे, www.google.com, का उपयोग करता है, पहले उस विशेष वेबसाइट के IP पते के लिए स्थानीय DNS सर्वर को अनुरोध भेजा जाएगा। तब DNS सर्वर उस विशेष आईपी पते की जाँच अपने डाटा बेस में करेगा और जब यह मिल जाए, तो इस आईपी के बारे में जानकारी के लिए तुरंत ग्राहक ब्राउज़र को एक प्रतिक्रिया भेजता है। यदि वह अपने डाटाबेस में उसे न मिले तो, यह आगे पदानुक्रम में शीर्ष स्तर DNS सर्वर को अनुरोध करता है। इस प्रकार, DNS सर्वर ग्राहकों से आ रहे नाम संकल्प/नेम रिज़ोल्यूशन अनुरोधों को हल करता है।
जब DNS सर्वर को इस प्रकार संशोधित किया जाता है कि, एक आईपी पता करने के लिए एक विशेष वेबसाइट जो अपेक्षित नहीं है, तो फिर ग्राहक, जिसके अनुरोध इस DNS सर्वर द्वारा हल किये जा रहे हैं, उसे किसी अन्य वेबसाइट पर पुनः निर्देशित किया जा सकता है। इस प्रकार की स्थिति सामने आती है, जब DNS सर्वर में सही प्रविष्टि को जोड़ा नहीं गया है या किसी भी अनधिकृत उपयोगकर्ता द्वारा DNS प्रविष्टियों को संशोधित किया जाता है। अनधिकृत पध्दति से डीएनएस प्रविष्टियों को संशोधित करने की प्रक्रिया डीएनएस स्पूफिंग कहलाती है।
डीएनएस स्पूफिंग मुख्यतः निम्नलिखित विधियों का प्रयोग कर प्राप्त किया जाता है।
- डीएनएस कैश पॉयज़निंग और
- डीएनएस आईडी स्पूफिंग
डीएनएस कैश पॉयज़निंग विधि को एक उदाहरण से समझा जा सकता है। दो DNS सर्वरके बारे में सोचें - एक जो आपके संगठन के लिए डोमेन नाम www.abc.com के साथ है और दूसरा डोमेन नाम www.attacker.com के साथ स्थानीय DNS सर्वर है जो एक कॉम्प्रमाइज्ड सर्वर है। आक्रमणकारी कुछ कस्टमाइज्ड प्रविष्टियाँ जोडता है, जिसमें कॉम्प्रमाइज्ड DNS सर्वर में अपने ही प्रासंगिक आईपी पते से वैध वेबसाइट के नाम समाविष्ट हैं। उसके बाद वह आईपी पता जानकारी के लिए डोमेन www.attacker.com को डोमेन www.abc.com के DNS सर्वर को एक नाम संकल्प अनुरोध भेजता है। क्योंकि डीएनएस सर्वर के डाटा बेस में जानकारी नहीं है, यह कॉम्प्रमाइज्ड डीएनएस सर्वर से जानकारी प्राप्त करने के बाद आक्रमणकारी को प्रत्युत्तर भेजता है। इस व्यवहार/लेनदेन की अवधि के दौरान, www.abc.com का डीएनएस सर्वर केवल वर्तमान www.attacker.com आईपी पते की जानकारी ही नहीं प्राप्त करता बल्कि डीएनएस सर्वर के अन्य रिकॉर्ड भी अपने कैश में ले लेता है। ऐसा करना सामान्य रूप कैश पॉयज़निंग के रूप में संदर्भित किया जाता है। इस समय,यदि एक वैध उपयोगकर्ता नेम रिज़ोल्यूशन/नाम के प्रस्ताव के लिए स्थानीय DNS सर्वर से जुड़ता है तो उसे अपेक्षित वेबसाइट के स्थान पर अन्य वेबसाइट की ओर गुमराह कर दिया जाएगा।
डीएनएस आईडी स्पूफिंग के मामाले में, जब एक नाम संकल्प अनुरोध ग्राहक द्वारा डीएनएस सर्वर को भेजा जाता है, तो अनुरोध के साथ एक पहचान उत्पन्न हो जाएगी। यदि आईडी प्रतिक्रिया पैकेट की पहचान अनुरोध पैकेट के साथ मेल खानेवाली हो तो, ग्राहक उसके अनुरोध की प्रतिक्रिया स्वीकार करेगा। परंतु नाम प्रस्ताव का यह तरीका सुरक्षित नहीं है। क्योंकि कोई भी अनधिकृत उपयोगकर्ता अनुरोध को भाँप सकते हैं और उसी आईडी और अनपेक्षित आईपी जानकारी के साथ एक प्रतिक्रिया पैकेट बना सकते हैं। इस प्रकार के डीएनएस आक्रमण को डीएनएस आईडी स्पूफिंग कहते हैं।
इंट्रूजन डिटेक्शन सिस्टम के माध्यम से आक्रमणों का पता लगाना एवं विश्लेषण करना
आईडी द्वारा इस आक्रमण का पता लगाने के लिए इस सिग्नेचर/हस्ताक्षर प्रयोग किया जाता है
alert udp $EXTERNAL_NET 53 -> $HOME_NET any (msg:"DNS SPOOF query response with TTL of 1 min. and no authority"; flow:to_client; content:"|81 80 00 01 00 01 00 00 00 00|"; content:"|C0 0C 00 01 00 01 00 00 00|<|00 04|"; metadata:policy security-ips drop, service dns; classtype:bad-unknown; sid:254; rev:7;)
क्योंकि उपरोल्लिखित सचेतक/अलर्ट एक डीएनएस सर्वर से निर्मित हैं, इसीलिये इसे टाइम टू लिव वैल्यू ऑफ वन मिनट के साथ एक DNS शंका प्रतिक्रिया (डीएनएस क्वेरी रिस्पॉन्स) प्राप्त हुई है, यहाँ टीटीएल ऑफ वैल्यू ऑफ वन मिनट अल्प समय के लिये ग्राहक के पीसी कैश में जानकारी इकट्ठी करेगा, जिस से कि यह स्पूफ्ड प्रतिक्रिया के साक्ष्य मिटा सकता है। साथ ही, इस प्रतिक्रिया का अधिकृत रिकार्ड नहीं है। इस प्रकार के आक्रमण गंभीर हैं क्योंकि ये उपयोगकर्ता को अपेक्षित साइट की बजाय अन्य साइट की ओर ले जाते हैं। कभी-कभी यह उपयोगकर्ता द्वारा किसी अवैध साइट को व्यक्तिगत जानकारी प्रदान करने के लिए उद्युक्त होंगे।
आईडी द्वारा इस आक्रमण का पता लगाने के लिए इस सिग्नेचर/हस्ताक्षर प्रयोग किया जाता है
alert udp $EXTERNAL_NET 53 -> $HOME_NET any (msg:"DNS SPOOF query response with TTL of 1 min. and no authority"; flow:to_client; content:"|81 80 00 01 00 01 00 00 00 00|"; content:"|C0 0C 00 01 00 01 00 00 00|<|00 04|"; metadata:policy security-ips drop, service dns; classtype:bad-unknown; sid:254; rev:7;)
यहाँ हस्ताक्षर/सिग्नेचर आईडीएस सेंसर को एक अलर्ट की निर्मिती करने को कहता है, जब इंटरनेट से एक UDP पैकेट स्रोत पोर्ट के रूप में 53 के साथ, आंतरिक नेटवर्क में किसी भी प्रणाली तक निम्नलिखित सामग्री के साथ पहुँचता है, 81 80 00 01 00 01 00 00 00 00 एवं C0 0C 00 01 00 01 00 00 00 | <| 00 04. यह चेतावनी एक वर्गीकृत बैड-अननोन (अज्ञात अभद्र) के साथ प्रदर्शित की जाती है।
डीएनएस स्पूफ प्रसंग के पैकेट विवरण
डीएनएस की रोकथाम के लिए टिप्स्
संदर्भ : http://www.snort.org
- डीएनएस सॉफ्टवेयर को अद्यतन रखें।
- विश्वस्त सूत्रों से अद्यतन और जोन/मंडल स्थानांतरण की अनुमति दें।
- सार्वजनिक सेवाओं और आंतरिक सेवाओं के लिए पृथक DNS सर्वर रखें।
- अन्य डीएनएस सर्वर से प्राप्त अद्यतन पर हस्ताक्षर/सिग्नेचर करने के लिए सुरक्षित कुंजी का प्रयोग करें। ऐसा करना अविश्वस्त स्रोतों से अद्यतन करने से बचाएगा।
संदर्भ : http://www.snort.org
No rating set
Document Actions
Share
|
