Подмена DNS.

Подмена DNS манипулирует процессом разрешения имён в Domain Name System так, чтобы запрос легитимного имени возвращал выбранный злоумышленником IP-адрес. Реализуется через изменение файлов hosts, перехват трафика резолвера, эксплуатацию слабых идентификаторов транзакций или отравление кэша рекурсивных серверов. После перенаправления злоумышленник крадёт учётные данные, доставляет вредоносное ПО или организует перехват TLS-сессий по схеме «человек посередине» с поддельными сертификатами.

Классический приём — атака отравления кэша Дэна Камински 2008 года. Поскольку устаревшие резолверы аутентифицировали ответы лишь по 16-битному идентификатору транзакции, злоумышленник вне маршрута мог завалить резолвер поддельными ответами по случайным несуществующим поддоменам, выигрывая гонку у настоящего авторитетного сервера и внедряя отравленную NS-запись для всего домена. Исправление, стандартизированное в RFC 5452, добавило рандомизацию исходного порта, превратив пространство перебора примерно из 65 000 вариантов в миллиарды комбинаций. Более надёжную защиту даёт DNSSEC (RFC 4033–4035), который криптографически подписывает записи, чтобы резолверы отклоняли поддельные ответы, а также зашифрованный транспорт, такой как DoH (RFC 8484) и DoT (RFC 7858), который пресекает вмешательство на маршруте в общих Wi-Fi-сетях.

sequenceDiagram
  participant V as Жертва
  participant R as Резолвер
  participant A as Атакующий
  participant N as Настоящий сервер имён
  V->>R: Запрос bank.example?
  R->>N: Рекурсивный поиск
  A-->>R: Поддельный ответ с угаданными TXID и портом на IP атакующего
  N-->>R: Настоящий ответ приходит слишком поздно
  R-->>V: Закэшированный отравленный ответ
  V->>A: Подключение к IP атакующего

Защита включает валидацию DNSSEC, зашифрованный транспорт (DoH/DoT), рандомизацию исходных портов и идентификаторов транзакций, укрепление резолверов и мониторинг аномальных шаблонов разрешения имён.