Домен, обращающийся к вашей сети, может быть не тем, чем кажется. Фронтирование домена позволяет злоумышленнику проникнуть из того, что кажется законным источником.

Говорят, на войне все справедливо. Киберпреступники делают все возможное, чтобы выиграть кибервойну, применяя любые возможные средства для атаки ничего не подозревающих жертв на их данные. Они используют самые большие обманы, чтобы замаскировать свою личность, и застают вас врасплох такими методами, как атаки с прикрытием домена.

Этот, казалось бы, законный домен, обращающийся к вашей сети, в конце концов может быть незаконным. Насколько вам известно, злоумышленник может загнать вас в тупик. Это так называемая атака на домен. Есть ли что-нибудь, что вы можете с этим поделать?

Что такое атака на домен?

В рамках регулирования Интернета некоторые страны ограничивают доступ граждан к определенному онлайн-контенту и веб-сайтам, блокируя трафик пользователей на своей территории. Не имея возможности законно получить доступ к этим веб-сайтам из черного списка, некоторые люди ищут несанкционированные способы доступа.

instagram viewer

Фронтинг домена — это процесс, при котором пользователь маскирует свой домен для доступа к веб-сайту, доступ к которому ему запрещен в его местоположении. Атака с выходом на домен, с другой стороны, представляет собой процесс взлома легитимного домена с помощью методов выхода на домен для атаки на сеть.

Изначально фронтирование домена не было средством кибератаки. Незлонамеренные пользователи могут использовать его для обхода цензуры в отношении определенных доменов в их местоположении. Например, в континентальном Китае, где YouTube запрещен, пользователь может использовать доменное имя для доступа к YouTube в безвредных развлекательных целях, не подвергая риску чью-либо учетную запись. Но видя, что это удобный способ обойти проверки безопасности, киберпреступники захватили его для своих корыстных целей, отсюда и фактор атаки.

Как работает атака на домен?

Чтобы обойти местную цензуру, действующее лицо домена берет на себя личность законного интернет-пользователя, как правило, из другого географического местоположения. Сеть доставки контента (CDN), репозиторий прокси-серверов по всему миру, играет важную роль в атаке на домен.

Когда вы хотите получить доступ к веб-сайту, вы запускаете следующие запросы:

  1. DNS: Ваше устройство для подключения к Интернету имеет IP-адрес. Этот адрес является уникальным и эксклюзивным для вашего устройства. Когда вы пытаетесь получить доступ к веб-сайту, вы инициировать запрос системы доменных имен (DNS) который преобразует ваше доменное имя в IP-адрес.
  2. HTTP: Запрос протокола передачи гипертекста (HTTP) соединяет ваш запрос на доступ к гипертекстам во всемирной паутине (WWW).
  3. TLS: Запрос безопасности транспортного уровня (TLS) преобразует ваши HTTP-команды в HTTPS посредством шифрования и защищает входные данные между вашими веб-браузерами и серверами.

По сути, DNS преобразует ваше доменное имя в IP-адрес, а этот IP-адрес работает с соединением HTTP или HTTPS. Преобразование вашего доменного имени в IP-адрес не меняет ваш домен; он остается прежним. Но в доменном фронте, хотя ваш домен остается неизменным в DNS и TLS, он меняется в HTTPS. Записи DNS показывают законный домен, но HTTPS перенаправляет на запрещенный.

Например, вы живете в стране, где сайт example.com заблокирован, но вы все равно хотите получить к нему доступ. Ваша цель — получить доступ к example.com, используя законный веб-сайт, такой как makeuseof.com. Запросы к вашему DNS и TLS будут указывать на makeuseof.com, но ваше HTTPS-соединение будет указывать на example.com.

Выделение домена использует расширенная безопасность HTTPS быть успешным. Поскольку HTTPS зашифрован, он может обходить протоколы безопасности без обнаружения.

Киберпреступники используют описанный выше сценарий для запуска атак, направленных на домен. Вместо того, чтобы использовать законный домен для доступа к веб-сайтам, доступ к которым им запрещен из-за цензуры, они используют законный домен для кражи данных и выполнения связанных с ними вредоносных задач.

Как предотвратить атаки с переадресацией домена

Запуская атаки на домены, киберпреступники ориентируются не только на любые законные домены, но и на высокорейтинговые. И это потому, что такие домены имеют репутацию подлинных. Естественно, у вас не будет причин для подозрений, если вы обнаружите легальный домен в своей сети.

Вы можете предотвратить атаки, направленные на домен, следующими способами.

Установить прокси-сервер

А прокси-сервер является посредником или посредником между вами (вашим устройством) и Интернетом. Это система безопасности, которая предотвращает прямой доступ пользователей к Интернету, особенно потому, что пользовательский трафик может быть опасным. Другими словами, он фильтрует трафик для проверки векторов угроз, прежде чем допустить его в веб-приложение.

Чтобы предотвратить перенаправление домена, настройте прокси-сервер для перехвата всех соединений TLS и убедитесь, что заголовок хоста HTTP совпадает с тем, который перенаправляет HTTPS. На основании ваших настроек система откажет в доступе, если заметит несоответствие.

Избегайте висячих записей DNS

Предполагается, что все записи в вашем DNS направляют входящий трафик на назначенные каналы. Когда вы делаете запись, которую DNS не может обработать из-за отсутствия ресурса, у вас есть висячая запись DNS.

Запись DNS висит, если она неправильно настроена или устарела и бесполезна для команд DNS. Это создает пространство для атак, направленных на домен, поскольку злоумышленники используют записи для своих злонамеренных действий.

Чтобы предотвратить атаки, направленные на домен, из-за висячих записей DNS, вы всегда должны содержать свои записи DNS в чистоте. Проводите регулярную санитарную обработку, чтобы проверять наличие старых и устаревших записей и удалять их. Вы можете использовать инструмент мониторинга DNS для автоматизации процесса. Он генерирует список всех ваших активных ресурсов в записях DNS и выделяет неактивные.

Принять подпись кода

Подписание кода — это подписание программного обеспечения с помощью цифровых подписей, таких как инфраструктура открытых ключей (PKI), чтобы показать пользователям, что программное обеспечение не повреждено без каких-либо изменений. Основная цель подписи кода — убедить пользователей в том, что загружаемое ими приложение является подлинным.

Подписание кода позволяет вам подписывать ваш домен и другие ресурсы в ваших записях DNS, чтобы продемонстрировать их целостность и установить между ними цепочку доверия. Система не будет проверять или обрабатывать какой-либо ресурс или команду, на которых нет отпечатанной авторизованной подписи.

Внедрите нулевое доверие к безопасности для предотвращения атак через домен

Атаки с прикрытием домена выявляют опасности, связанные с доменным трафиком. Если хакеры могут использовать законные авторитетные платформы для проникновения в вашу систему, это показывает, что вы не можете доверять ни одной платформе.

Реализация безопасности с нулевым доверием — это путь. Убедитесь, что каждый трафик в вашей сети проходит стандартные проверки безопасности для подтверждения его целостности.