DNS-spoofing. Кто и зачем это делает?

[Setup]

Не нашел подобной темы на хаблисте, поэтому решил создать новую.
Речь в ней пойдёт не о краже домена подбором паролей или взломе админок хостеров. Эти варианты слишком просты и давно всем известны.
Недавно мы столкнулись с новым методом кражи адресов и/или юзеров. Временной кражей, но всё равно неприятно.

Как-то раз заметил на себе, думал глюк, потом начали жаловаться пользователи. Адрес хаба dc1.xdnet.ru преобразуется в IP совсем не те, что указаны на DNS серверах хостера.

Вот как должно быть, это я получаю от своего провайдера. Здесь всё нормально:

Код: Выделить всё

C:\Documents and Settings\Setup>nslookup dc1.xdnet.ru
Server:  s01.xdnet.ru
Address:  172.16.1.1

Non-authoritative answer:
Name:    dc1.xdnet.ru
Addresses:  188.134.24.84, 94.188.41.168

Код: Выделить всё

C:\Documents and Settings\Setup>nslookup dc1.xdnet.ru 8.8.8.8
Server:  google-public-dns-a.google.com
Address:  8.8.8.8

Non-authoritative answer:
Name:    dc1.xdnet.ru
Addresses:  188.134.24.84, 94.188.41.168

А вот что получают в данный момент в Киевстаре:

Код: Выделить всё

C:\Users\Серёга>nslookup dc1.xdnet.ru
DNS request timed out.
    timeout was 2 seconds.
TхЁтхЁ:  UnKnown
Address:  192.168.0.1

Не заслуживающий доверия ответ:
Lь :     dc1.xdnet.ru
Address:  209.222.14.6

Код: Выделить всё

C:\Users\Серёга>nslookup dc1.xdnet.ru 8.8.8.8
TхЁтхЁ:  google-public-dns-a.google.com
Address:  8.8.8.8

Не заслуживающий доверия ответ:
Lь :     dc1.xdnet.ru
Addresses:  188.134.24.84
          94.188.41.168

Для справки ещё сообщу что адрес 209.222.14.6 никогда не для чего мною не использовался, никогда не фигурировал в настройках, даже локальных.
Кто знаком с подобными случаями? И как с ними бороться?

[DTKMS]

Сейчас заметил подобный случай. Причем IP адрес этого хаблиста отдавался с этим IP с провайдерского DNS сервера. Сначала думал ДДОСят опять хаблист, а тут вот какая петрушка.
Как вариант решения можно забить публичные ДНС сервера в настройках сетевой, роутера, модема.

[Setup]

Сейчас заметил подобный случай. Причем IP адрес этого хаблиста отдавался с этим IP с провайдерского DNS сервера. Сначала думал ДДОСят опять хаблист, а тут вот какая петрушка.
Как вариант решения можно забить публичные ДНС сервера в настройках сетевой, роутера, модема.

Большое спасибо за Ваш ответ. Аватарка классная, навивает воспоминания))

Я использовал гугловский 8.8.8.8
Но не советовать же всем тысячам пользователей менять настройки DNS, это просто невозможно.
Интересно, а что говорят провайдеры по этому поводу? Может кто обращался?

[DTKMS]

Провайдеры скорее всего синхронизируются с внешними какими-то серверами, добавляя к ним свою зону. Вот видно откуда то берется запись, а больше всего интересно: как и зачем

[Setup]

Написал провайдеру, ждём ответ...

Вот что мне удалось накопать:
Подменённый IP по базе RIPE не существует.
Трейс приводит в контору дающую в адренду серваки в США:
http://www.choopa.com/
Mailing Address
Choopa, LLC
100 Matawan Rd., Suite 420
Matawan, NJ 07747
United States

[Быстрый ответ]

Вот вы не разобрались еще, однако ж тему уже успели назвать громко: "Кража DNS"... как-то это не очень правильно, наверно?
А может это вирус подменил у доброго юзера адреса DNS в настройках?

[DTKMS]

Вот вы не разобрались еще, однако ж тему уже успели назвать громко: "Кража DNS"... как-то это не очень правильно, наверно?
А может это вирус подменил у доброго юзера адреса DNS в настройках?

Не думаю что это какая-то случайная подмена DNS адресов вирусом или скриптом.
Вот картинка с DNS серверами в моей сети провайдера, 2 сервера:

Код: Выделить всё

C:\Users\Kingston>nslookup dchublist.ru 193.169.36.10
╤хЁтхЁ:  mediawiki.kmsnet.ru
Address:  193.169.36.10

Не заслуживающий доверия ответ:
╚ь :     dchublist.ru
Addresses:  2001:41d0:52:a00::1a8
          209.222.14.6

Код: Выделить всё

C:\Users\Kingston>nslookup dchublist.ru 193.169.36.16
╤хЁтхЁ:  ns1.kms.multinex.ru
Address:  193.169.36.16

Не заслуживающий доверия ответ:
╚ь :     dchublist.ru
Addresses:  2001:41d0:52:a00::1a8
          37.187.66.175

Один сервер видимо еще не обновленный и отдает "левый" IP. А второй - уже обновился.
К тому же, у разных доменов один ip и как он там оказался - еще не известно.

[Setup]

"Кража DNS"... как-то это не очень правильно, наверно?

Согласен, тема называется не совсем корректно. Точнее этот метод называют DNS-spoofing

Ещё информация по теме:
Месяца два назад ([2014-06-26 17:30]) заметил что DNS серверы ВэбПлас стали некорректно преобразовывать адрес одного из наших доменов: dc.mside.ru
DNS серверы именно одного провайдера, на другом всё было в порядке.
Уже не помню в какой IP преобразовывался адрес, но по логам он приводил на хаб "CASPER-HOUSE DC COMMUNITY©":

Код: Выделить всё

[2014-06-26 17:30] : *** Соединение с dc.mside.ru ...
[2014-06-26 17:30] : *** Соединён
[2014-06-26 17:30] : <•каспер•> FlexHub Beta 0.2 svn: 1466 - Made by Daywalker, FlipFlop and en_dator.
[2014-06-26 17:30] : <•каспер•>  

                                         Добро Пожаловать  Setup ,  

                      на Файлообменный Ресурс - "CASPER-HOUSE DC COMMUNITY©"
 
                           Наши адреса  --  dchub://casper-house.ru  --   
                                                   --  dchub://casper-house.su  --   Our Address
                            
                       Наши партнеры--  •MegaBit• хаб  - dchub://megabithub.ru 
                                                *** Новосибирск Forever ***  dchub://novosibirsk-forever.ru


                                 Непрерывная работа сервера: 21 day(s) 02:02:19
                                      Сейчас на хабе:  508  пользователей онлайн 
                                           Рекорд хаба:  1128 юзеров
                                   Общая шара хаба:  367.10 TB

                                       Владелец хаба -  alex-yx  - Owner
                                            
                      Не забывайте добавлять наш хаб к себе в список командой /fav
                                        Do not forget to add our hub to my list of teams   /fav

                      !regme <пароль> без скобок  =>регистрация на хабе!
                      !regme <password>  => registration for hub

                      Чтобы узнать о правилах или вам нужна помощь в настройках
                      используйте команды:
                                                       !faq  --   Помощь
                                                       !rules -- Правила хаба
                                                       !hubs -- Дружественные хабы
                или воспользуйтесь меню CASPER-HOUSE menu -- Text Commands

                                   Помощь проекту  41001673017509 яндекс.деньги

                                     Приятного время провождения на нашем хабе.
                                        by: " CASPER - HOUSE DC COMMUNITY © " 
[2014-06-26 17:52] : *** Удаленный хост принудительно разорвал существующее подключение.

[Setup]

Ещё:

[Быстрый ответ]

Я загуглил и нашел, что это делается путём атаки на BIND уязвимой версии, ниже 9-й. Уже лет 5 назад практически все админы обновили свои бинды, поэтому данная атака очень мало распространена. Однако же, я уверен, остались и мамонты, которые никогда ничего не обновляют. Вот видимо одного из таких мы и наблюдаем. (nsk.mts.ru)

[LAV ©]

Маловероятно, что атака идет на DNS с серыми адресами. Они сильно смахивают на кэширующие DNS роутеров. Не мешало бы трассировки прикладывать.