«Викрадення» записів DNS із мережевих рішень

ОНОВЛЕННЯ: Цей допис у блозі пов’язаний із перенаправленням серверів доменних імен, яке сталося ще в червні 2013 р. Це повідомлення НЕ пов'язані з постійною діяльністю, яка відбулася 16 липня 2013 р. Cisco TRAC в даний час аналізує поточні проблеми з розміщеними доменними іменами Network Solutions та має більше інформації тут.

Сьогодні у багатьох організацій з доменними іменами, зареєстрованими в Network Solutions, виникли проблеми з їхніми доменними іменами, оскільки їх сервери імен DNS замінено серверами імен на ztomy.com. Сервери імен на ztomy.com були налаштовані відповідати на запити DNS для уражених доменів з IP-адресами в діапазоні 204.11.56.0/24. Cisco спостерігала велику кількість запитів, спрямованих на ці IP-адреси мережі злиття. На основі пасивних даних DNS для цих IP-адрес можуть постраждати майже 5000 доменів.

записів
Трафік потрапляє до 204.11.56.0/24

Викрадення записів DNS доменного імені - одна з найгірших атак, яку може зазнати організація. Ви буквально втратили контроль над своїм доменом. Network Solutions, будучи оригінальним реєстратором доменних імен .com, .net та .org, є досить привабливою метою для зловмисників. Спочатку було незрозуміло, чи ця проблема була наслідком атаки чи неправильної конфігурації. Виявляється, проблема була пов'язана як з атакою, так і з помилковою конфігурацією. Network Solutions опублікувала заяву, в якій стверджувала: "У процесі вирішення інциденту з розподіленою відмовою в обслуговуванні (DDoS) у ніч на середу веб-сайти невеликої кількості клієнтів Network Solutions випадково постраждали протягом декількох годин".

Цікаво, що деякі з цих доменів були налаштовані під різними серверами імен на ztomy.com. Наприклад, домен usps.com був вказаний на сервери імен DNS ns1621.ztomy.com та ns2621.ztomy.com. Сервери імен Yelp змінено на ns1620.ztomy.com та ns2620.ztomy.com. Тим часом на вірність вказали ns1622.ztomy.com та ns2622.ztomy.com. Однак той факт, що так багато доменів було переміщено в такий помітний спосіб, підтверджує твердження Network Solutions, що це справді була помилка конфігурації.

TRAC рекомендує всім, хто має домен, зареєстрований у Network Solutions, переконатися, що їх сервери імен DNS спрямовані на правильне розташування. TRAC також рекомендує мережевим адміністраторам перевіряти журнали своїх мережевих пристроїв на наявність підключень до підмережі 204.11.56.0/24. Організаціям потрібно ретельно продумати, як вони швидко визначатимуть несанкціоновані модифікації своїх записів DNS і як вони реагуватимуть на таку ситуацію.

Список літератури

Дякуємо Генрі Штерну, Мартіну Лі, Мері Ландесман та Греггу Конкліну за допомогу у написанні цього допису.