Применение технологии DNS-Rebinding для определения реального IP-адреса анонимных веб-пользователей Текст научной статьи по специальности «Компьютерные и информационные науки»

I ПРИМЕНЕНИЕ ТЕХНОЛОГИИ DNS-REBINDING ДЛЯ ОПРЕДЕЛЕНИЯ РЕАЛЬНОГО IP-АДРЕСА АНОНИМНЫХ ВЕБ-ПОЛЬЗОВАТЕЛЕЙ

Щербинина И.А.1, Кытманов Н.С.2, Александров Р.В.3

Тема анонимности в Интернете вышла на первый план еще в 2013 году, благодаря откровениям бывшего сотрудника американского Агентства Национальной Безопасности Эдварда Сноудена. Статья «Для спецслужб СШАне существуетанонимности в Сети», вызвала бурную реакцию в ИТ-сообществе. После чего существенно выросла потребность в обеспечении анонимности пользователей и информационной безопасности их данных. А несколько позже методы обеспечения анонимности стали намного проще и доступнее для непосредственно практического использования пользователями без специальных знаний и навыков. Это в свою очередь открывает большие возможности для определённого контингента людей, например для использования в мошеннических, террористических и других целях. Масштабный пример - в марте 2011 года киберпреступник разослал анонимные сообщения о предполагаемых взрывах в ВУЗах Российской Федерации, как выяснилось позже, рассылка производилась с использованием сразу нескольких Proxy-серверов. В статье предложено практическое применение технологии DNS-Rebinding для получения реального IP-адреса анонимного пользователя, при использовании одного из или сразу нескольких, часто используемых методов скрытия IP-адреса для анонимного доступа в интернет, также предварительно рассмотрены эти методы и их недостатки - каналы утечки информации о реальном IP-адресе, либо о факте скрытия IP-адреса, и непосредственно сама технология DNS-Rebinding.

Ключевые слова: DNS-Rebinding, анонимность Интернет-информации, Proxy-сервер, виртуальная частная сеть, IP-адрес, система TOR.

Анонимность размещаемой в Интернете информации имеет свои положительные и отрицательные моменты, как с точки зрения производителей, так и точки зрения потребителей информации. Однако, достаточно часто возникает необходимость аутентификации анонимных пользователей, например, при проведении релевантных Интернет-голосований в целях защиты от анонимных «вбросов» (умышленной накрутки голосов и фальшивых отзывов). Данная проблема становится всё более актуальной, поскольку всё чаще сбор статистической информации переносится в информационное пространство Интернета в силу относительной дешевизны и простоты организации процесса. Сегодня, Интернет-голосования все более активно используются для:

- исследования определённых сегментов рынка;

- определения отношения групп населения к тем или иным политическим или административным решениям;

- планирования места и времени проведения мероприятий, чаще всего общественных;

- сбора отзывов и предложений по определённой тематике;

- определения степени лояльности целевой аудитории;

- проведения опросов с целью определения предпочтений.

При этом качество получаемых результатов напрямую зависит от релевантности собранных данных, и аутентификация участников голосования позволит учесть особенности выборки при проведении статистических исследований.

В качестве основного метода сокрытия личности в Интернете используется подмена IP-адреса машины, с которой осуществляется выход в сеть Интернет [1].

Существует несколько базовых технологий скрытия или подмены IP-адреса машины:

- Proxy-сервер (от англ. proxy - «представитель, уполномоченный») - служба (комплекс программ) в компьютерных сетях, позволяющая клиентам выполнять косвенные запросы к другим сетевым службам;

- VPN (англ. Virtual Private Network - виртуальная частная сеть) - обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например, Интернет);

- система Tor (сокр. от англ. The Onion Router) -свободное и открытое программное обеспечение

1 Щербинина Инна Александровна, кандидат педагогических наук, Морской государственный университет им. адмирала Г.И. Невельского, Владивосток, E-mail: shcherbinina@msun.ru.

2 Кытманов Николай Сергеевич Морской государственный университет им. адмирала Г.И. Невельского, Владивосток. E-mail: z@p2pd.ru.

3 Александров Радислав Владиславович, Морской государственный университет им. адм. Г.И. Невельского, Владивосток. E-mail: radik@msun.ru.

для реализации второго поколения так называемой «луковой маршрутизации».

Proxy-сервер

Proxy-сервер является посредником для выхода абонента в сеть. Разумеется, скрытие IP-адреса пользователя не является основной функцией Proxy-сервера, который в первую очередь предназначен для ускорения работы пользователя в интернете. Proxy-сервер чаще всего является публичным - доступ к такому серверу никак не контролируется, реже приватным - доступ к нему регламентируется списками доступа, либо аутентификацией по логину и паролю. В обоих случаях при правильных настройках невозможно определить IP-адрес пользователя, не имея непосредственного доступа к серверу. Максимум, что можно определить в случае использования публичного proxy-сервера это факт подмены IP-адреса. Однако, в случае, когда настройки передают специальные заголовки об использовании proxy-сервера, можно узнать из них реальный IP-адрес пользователя (пример на рисунке 1 - реальный IP-адрес пользователя 127.0.0.1, т.к. proxy-сервер расположен на компьютере пользователя). Однако, даже если они передаются - не факт, что они легитимные, так как могут быть изменены администратором proxy-сервера.

VPN

VPN приобретает всё большую популярность при использовании незащищённых сетей Wi-Fi в местах общего пользования, поскольку анализ трафика позволяет получить доступ к персональным данным. VPN реализуется на базе OpenVPN или PPTP сервера. Так как VPN работает на транспортном уровне модели OSI, данные передаваемые пользователем не изменяются, соответственно никаких специальных заголовков не передаётся в отличие от proxy-сервера.

Однако при определённых настройках можно использовать уязвимость DNS Leak, смысл заключается в том, что администратор VPN-сервера может не настроить обязательную установку DNS-серверов во внутренней сети VPN и таким образом специально сгенерированное уникальное доменное имя спровоцирует рекурсивный резолвинг доменного имени через внешний DNS-сервер и владелец конечного NS-сервера узнает IP-адрес сети пользователя (пример на рисунке 2 - определена сеть пользователя с географической точностью до города). В ином случае, по аналогии с proxy-сервером возможно определить факт использования VPN-сервера.

Tor

Система Tor относительно новая технология обеспечения анонимности в Интернете. Это система прокси-серверов, в которой данные передаются обезличено по цепочке, каждое звено которой видит только сервер источник и сервер получатель и индивидуально шифрует их. Система Tor позволяет устанавливать анонимное сетевое соединение, за-щищённое от прослушивания и может рассматриваться как анонимная сеть виртуальных туннелей. Система Tor децентрализована и состоит в первую очередь из пользователей, которые также скрывают свой IP-адрес. Эта система является наиболее анонимной, так как идентификация пользователя из подобной сети возможна только при наличии большого числа подконтрольных узлов, что теоретически невозможно. Обычно при использовании системы Tor пользователь использует специальный браузер, который дополнительно настроен на обеспечение максимальной анонимности - в нём отключены потенциально опасные объекты (например, flash-код, java-апплет, javascript-код и др.). Чрезвычайно просто определить является ли уз-

213.87.100.50 v 1 <? I I О. Поиск ъ т с ? » =

Г i Приветствуем! Сайт defaultcom только что создан. L 1

root@ bronte li ght: ~ □ X

Файл Правка Вид Поиск Терминал Справка

12:49:41.991875 IP 185.57.30.248.27368 > brontelight.ги.http: Flags [P.], seq 0:482, ack X, win 229, options [nop,nop,TS val 4808224 ecr 573724453], length 482

E...f.v..s.9...Wd2j..РЛ.8.:..............

.1Л "2W96GET / HTTP/1.1 Host: 213.87.100.50

User-Agent: Mozilla/5.0 (Xll; Ubuntu; Linux x86_64; rv:42.0) Gecko/20100101 Firefox/42.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.5,en;q=0.3 Accept-Encoding: gzip, deflate

If-Modified-Since: Thu, 03 Dec 2015 02:19:39 GMT

If-None-Match: "bc7-525f505e98cae"

Via: 1.1 robin (squid/3.3.8)

X-Forwarded-For: 127.0.0.1

Cache-Control: max-age=0

Connection: keep-alive

Рис. 1. HTTP-запрос к веб-странице через proxy-сервер Squid3

Применение технологии DNS-rebinding

f. ä

https://www.dnsleaktest.com/results.html

v I С \\<\ Поиск

4r Ä О * Г » =

*Г DNS leak «■h besb.com

What is a DNS leak? What are transparent DNS proxies? How to fix a DNS leak

IP Hostname ISP Country

95.154.113.10 nsl.inetvl.ru Octopusnet LTD Russian Federation

95.154.112.75 ns2.inetvl.ru Octopusnet LTD Russian Federation

about I link to this site | privacy policy

boss@robin: - - □

Файл Правка Вид Поиск Терминал Справка boss@robin:~$ traceroute dnsleaktest.con

traceroute to dnsleaktest.con (23.239.16.110), 30 hops max, 60 byte packets

1 10.0.0.1 (10.0.0.1) 169.710 ms 169.695 ms 169.688 ms

2 31.214.241.9 (31.214.241.9) 169.681 ms 169.674 ms 169.671 ms

3 109.230.212.129 (109.230.212.129) 169.665 ms 169.659 ms 169.649 ms

4 te0-0-l-2.202.nrll.b016088-l.fra03.atlas.cogentco.com (149.6.43.249) 169.653 ms 169.646 ms 169.632

s

5 te0-4-0-21.agr21.fra03.atlas.cogentco.com (154.25.0.165) 169.616 ms 169.608 ms 169.601 ms

6 tella.fra03.atlas.cogentco.com (130.117.14.214) 171.495 ms 168.620 ms 168.607 ms

Рис. 2. Демонстрация применения уязвимости DNS Leak

лом системы Tor любой IP-адрес, для этого необходимо послать простейший HTTP-запрос на 80 порт (пример на рисунке 3).

DNS-Rebinding

DNS-Rebinding - это технология привязки нового произвольного IP-адреса в рамках одной сессии после первичного определения соответствия доменного имени и IP-адреса. Технология DNS-Rebinding представляет собой эксплуатацию технической особенности работы современных веб-браузеров [3]. Основная суть заключается в том, что веб-браузеры блокируют обращения JavaScript сценариев к сторонним доменам (отличным от домена с которого был загружен конкретный сценарий), но данное ограничение можно обойти, если использовать техническую особенность - во время запроса к текущему домену, при получении ошибки «Connection refused» (соединение сброшено), браузер повторно осуществляет резолвинг до-

менного имени с целью определить IP-адрес сервера. Таким образом первый резолвинг - получит IP-адрес реального сервера, а при повторном ре-золвинге имени - получит IP-адрес, либо набор IP-адресов, которые находятся в локальной сети.

Все современные маршрутизаторы предоставляют веб-интерфейс для настройки и отслеживания статистики работы, обычно он доступен по адресам http://192.168.0.1/ или http://192.168.1.1 /, при этом на главной странице отображается статистика и используемые адреса MAC и IP. Предположим, что провайдер интернет предоставляет пользователю сетевое подключение с выдачей внешнего IP-адреса непосредственно на маршрутизаторе. В этом случае главная страница веб-интерфейса будет содержать реальный IP-адрес пользователя. Даже если пользователь использует средства анонимизации, то запрос к узлу в локальной сети будет выполнен напрямую. Используя данное предположение можно использо-

ОС J This is a Tor Exit Router * \

207.244.70.35

e I I Поиск

This is a Tor Exit Router

Most likely you are accessing this website because you had some issue with the traffic coming from this IP. This router is part of the Tor Anonymity Network, which is dedicated to providing privacy to people who need it most: average computer users. This router IP should be generating no other traffic, unless it has been compromised.

How Tor Works: click here for more information.

Tor sees use by many important segments of the population, including whistle blowers, journalists, Chinese dissidents skirting the Great Firewall and oppressive censorship, abuse victims, stalker targets, the US military, and law enforcement, just to name a few. While Tor is not designed for malicious computer users, it is true that they can use the network for malicious ends. In reality however, the actual amount of abuse is quite low. This is largely because criminals and hackers have significantly better access to privacy and anonymity than do the regular users whom they prey upon. Criminals can and do build, sell, and trade far larger and more powerful

Рис. 3. Ответ узла системы Tor на HTTP-запрос

Рис. 4. Поэтапная схема работы адаптированной технологии DNS-Rebinding

вать эти факты вместе с технологией DNS-Rebinding: после загрузки JavaScript сценария веб-браузером, он исполнится и в процессе работы будет получена главная страница веб-интерфейса маршрутизатора с реальным IP-адресом. Адаптированная схема работы технологии приведена на рисунке 4.

Разберём данную схему по этапам:

- пользователь обращается на подконтрольный домен и получает с DNS сервера IP-адрес, соответствующий доменному имени; после этого инициируется обращение к веб-серверу, и пользователь получает с него сценарий JavaScript, эксплуатирующий технологию DNS-Rebinding;

- веб-сервер, при помощи межсетевого экрана, блокирует 80-й порт, используемый по умолчанию протоколом HTTP;

- JavaScript, через некоторое время после загрузки, инициирует повторное обращение к заблокированному порту;

- так как после второго этапа порт закрыт, JavaScript сценарий получает ошибку «Connection refused»;

- после получения ошибки веб-браузер повторно запрашивает IP-адрес веб-сервера; DNS-сервер выдаёт IP-адреса маршрутизаторов в локальной сети;

- JavaScript сценарий продолжает работу и обращается по 80-му порту, но уже к вебсерверу маршрутизатора в локальной сети веб-пользователя;

- на последнем этапе JavaScript сценарий обра-

батывает HTTP-ответ и передает веб-серверу определенных IP-адрес пользователя.

Технология DNS-Rebinding может быть применена ко всем рассмотренным технологиям скрытия или подмены IP-адреса компьютера пользователя. Имеются и ограничения по её использованию: так как вся работа основывается на JavaScript сценарии, то его отключение или блокировка полностью останавливает процесс определения IP-адреса, также как и использование нестандартных локальных IP-адресов и паролей в веб-интерфейсу маршрутизатора.

Вопрос анонимности в сети должен рассматриваться комплексно, в целом использование только нескольких разнородных технологий может обеспечить достаточный уровень защиты. В данной работе проанализированы существующие технологии и средства скрытия IP-адреса компьютера пользователя, методы определения реальных IP-адресов в случае если их попытались скрыть или подменить. Рассмотрен один из способов использования перспективной технологии проникновения в локальные сети — DNS-Rebinding. Построена модель и определен алгоритм её работы. Проведен эксперимент на базе беспроводного маршрутизатора TP-Link TL-WR841N, одной реальной (в качестве клиентской машины с веб-браузером) и двух виртуальных машин (в качестве веб-сервера и DNS-сервера). Данное прикладное использование технологии DNS-Rebinding позволяет повысить уровень информационной безопасности в сети интернет.

Литература:

1. Баранов Д.С. Атака «DNS Rebinding» // Режим доступа URL: http://www.ptsecurity.ru/ics/dnsrebinding-110620020949-phpapp01.pdf, дата обращения 13.01.2016.

2. Савченко Я.И., Гаценко О.Ю. Аналитический обзор методов обеспечения анонимности в интернете // Проблемы информационной безопасности. Компьютерные системы. 2015. № 3. С. 56-64.

3. Кокоулин А.Н., Андреев Р.А., Феофилова П.А. Обзор альтернативных способов обеспечения анонимности. рекомендации по использованию TOR // Технические науки - от теории к практике. 2015. № 52. С. 92-96.

Применение технологии DNS-rebinding.

4. Асратян Р.Э., Лебедев В.Н., Орлов В.Л. Организация защищенных каналов взаимодействия на основе применения протокола HTTPS в прокси-серверах // Информационные технологии. 2015. Т. 21. № 9. С. 670-674.

5. Линкер А.А. Технология TOR, используемая для совершения компьютерных преступлений // В сборнике: Проблемы правовой и технической защиты информации. Сборник научных статей. В.В. Поляков - ответственный редактор: Сборник трудов. Барнаул, 2015. С. 149-151.

6. Шпеко М.В. Децентрализованные сервисы // В сборнике: Информационные системы и технологии в образовании, науке и бизнесе (ИСиТ-2014) Материалы Всероссийской молодежной научно-практической школы: Сборник трудов. 2014. С. 285-286.

7. Казак Р.О. Анализ средств обеспечения анонимности в сети интернет // Вим1рювальна та обчислювальна техшка в технолопчних процессах. 2014. № 1 (46). С. 100-105.

8. Гвоздев А.В., Лебедев И.С., Зикратов И.А. Вероятностная модель оценки информационного воздействия // Научно-технический вестник информационных технологий, механики и оптики. 2012. № 2 (78). С. 99-103.

Рецензент: Глушков Сергей Витальевич, доктор технических наук, Glushkov@msun.ru

THE APPLICATION OF DNS-REBINDING TECHNOLOGY FOR DETERMINE REAL IP-ADDRESS OF ANONYMOUS WEB USERS

Shcherbinina I.A.4, Kytmanov N.S.5, Aleksandrov R.V.6

Subject of anonymity on the Internet came to the fore as early as 2013 year, because to the revelations of a former employee of the US National Security Agency Edward Snowden. The article "For the US intelligence services do not exist in the anonymity in the web" has caused a strong reaction in the IT community. After that significantly increased the need to ensure the anonymity of the users and the information security of their data. Later methods of ensuring anonymity has become much easier and more accessible for practical use directly by users without special knowledge and skills. This in turn opens up great possibilities for a certain contingent of people, for example for use in fraud, terrorist and other purposes. For example - in March 2011, the cyber-criminal sent anonymous reports of alleged explosions in Russian Federation universities, as it turned out, the sending was carried out using several Proxy-servers. The article suggested practical application of DNS-Rebinding technology for detect real IP-address of the anonymous user, which using one or several, frequently used to hide methods IP-addresses for anonymous access to the Internet, also previously reviewed these methods and their shortcomings - leakage channels information about the real IP-address or the fact of hiding the IP-address, and of course it DNS-Rebinding technology.

Keywords: DNS-Rebinding, anonymous Internet-information, Proxy-server, Virtual Private Network, IP-address, system TOR

References:

1. Baranov D.S. Ataka «DNS Rebinding», Rezhim dostupa URL: http://www.ptsecurity.ru/ics/dnsrebinding-110620020949-phpapp01.pdf, data obrashcheniya: 13.01.2016.

2. Savchenko Ya.I., Gatsenko O.Yu. Analiticheskiy obzor metodov obespecheniya anonimnosti v internete, Problemy informatsionnoy bezopasnosti. Komp'yuternye sistemy. 2015. No 3, pp. 56-64.

3. Kokoulin A.N., Andreev R.A., Feofilova P.A. Obzor al'ternativnykh sposobov obespecheniya anonimnosti. rekomendatsii po ispol'zovaniyu TOR, Tekhnicheskie nauki - ot teorii k praktike. 2015. No 52, pp. 92-96.

4. Asratyan R.E., Lebedev V.N., Orlov V.L. Organizatsiya zashchishchennykh kanalov vzaimodeystviya na osnove primeneniya protokola HTTPS v proksi-serverakh, Informatsionnye tekhnologii. 2015. T. 21. No 9, pp. 670-674.

5. Linker A.A. Tekhnologiya TOR, ispol'zuemaya dlya soversheniya komp'yuternykh prestupleniy, V sbornike: PROBLEMY PRAVOVOY I TEKHNICHESKOY ZASHCHITY INFORMATSII Sbornik nauchnykh statey. V.V. Polyakov - otvetstvennyy redaktor: Sbornik trudov. Barnaul, 2015, pp. 149-151.

6. Shpeko M.V. Detsentralizovannye servisy, V sbornike: Informatsionnye sistemy i tekhnologii v obrazovanii, nauke i biznese (ISiT-2014) Materialy Vserossiyskoy molodezhnoy nauchno-prakticheskoy shkoly: Sbornik trudov. 2014, pp. 285-286.

7. Kazak R.O. Analiz sredstv obespecheniya anonimnosti v seti internet // Vimiryuval'na ta obchislyuval'na tekhnika v tekhnologichnikh protsessakh. 2014. No 1 (46), pp. 100-105.

8. Gvozdev A.V., Lebedev I.S., Zikratov I.A. Veroyatnostnaya model'otsenki informatsionnogo vozdeystviya // Nauchno-tekhnicheskiy vestnik informatsionnykh tekhnologiy, mekhaniki i optiki. 2012. No 2 (78). pp. 99-103.

4 Inna Shcherbinina, Ph.D., G.I. Nevelskoi Maritime State University, Vladivostok, shcherbinina@msun.ru.

5 Nikolay Kytmanov, G.I. Nevelskoi Maritime State University, Vladivostok, z@p2pd.ru.

6 Radislav Aleksandrov, G.I. Nevelskoi Maritime State University, Vladivostok, radik@msun.ru.