DNS-cache-forgiftning og spoofing

DNS står for Domenenavnssystem, og dette hjelper en nettleser til å finne frem til IP-adressen til et nettsted slik at den kan laste den på datamaskinen. DNS-cache er en fil på din eller din ISPs datamaskin som inneholder en liste over IP-adresser på jevnlig brukte nettsteder. Denne artikkelen forklarer hva som er DNS-cache-forgiftning og DNS-spoofing.

DNS-cache-forgiftning

Hver gang en bruker skriver inn en nettadresse i nettleseren, kontakter nettleseren en lokal fil (DNS-cache) for å se om det finnes noen oppføring for å løse IP-adressen til nettstedet. Nettleseren trenger IP-adressen til nettsteder slik at den kan koble til nettsiden. Det kan ikke bare bruke nettadressen til å koble direkte til nettsiden. Den må løses til en riktig IPv4 eller IPv6 IP-adresse. Hvis posten er der, vil nettleseren bruke den; Ellers vil det gå til en DNS-server for å få IP-adressen. Dette kalles som DNS-oppslag.

En DNS-buffer opprettes på datamaskinen eller Internett-leverandørens DNS-server-datamaskin, slik at mengden tid brukt til å spørre DNS-adressen til en nettadresse, blir redusert. I utgangspunktet er DNS-cacher små filer som inneholder IP-adressen til forskjellige nettsteder som ofte brukes på en datamaskin eller et nettverk. Før du kontakter DNS-servere, kontakter datamaskiner på et nettverk den lokale serveren for å se om det er noen oppføring i DNS-cachen. Hvis det er en, vil datamaskinene bruke det; Ellers vil serveren kontakte en DNS-server og hente IP-adressen. Da vil den oppdatere den lokale DNS-bufferen med den nyeste IP-adressen til nettstedet.

Hver oppføring i en DNS-buffer har en tidsbegrensning, avhengig av operativsystemer og nøyaktighet av DNS-resolusjoner. Etter at perioden utløper, vil datamaskinen eller serveren som inneholder DNS-bufferen, kontakte DNS-serveren og oppdatere oppføringen slik at informasjonen er riktig.

Det er imidlertid personer som kan forgifte DNS-bufferen for kriminell aktivitet.

Forgiftning av cachen betyr å endre ekte verdier for nettadresser. For eksempel kan cyberkriminelle lage et nettsted som ser ut som å si, xyz.com, og skriv inn DNS-posten i DNS-bufferen din. Når du skriver xyz.com i adresselinjen til nettleseren, vil den sistnevnte hente IP-adressen til den falske nettsiden og ta deg dit, i stedet for den virkelige nettsiden. Dette kalles Pharming. Ved hjelp av denne metoden kan cyberkriminelle utse påloggingsinformasjonen din og annen informasjon, for eksempel kortdetaljer, personnummer, telefonnumre og mer for identitetstyveri. DNS-forgiftningen er også gjort for å injisere skadelig programvare i datamaskinen eller nettverket ditt. Når du lander på en falsk nettside ved hjelp av et forgiftet DNS-cache, kan kriminelle gjøre alt de vil.

Noen ganger, i stedet for den lokale cachen, kan kriminelle også sette opp falske DNS-servere, slik at de kan gi ut falske når de blir spurt IP-adresser. Dette er høyt DNS-forgiftning og korrupter de fleste DNS-cachene i et bestemt område og påvirker dermed mange flere brukere.

Les om : Comodo Secure DNS | OpenDNS | Google Public DNS | Yandex Secure DNS | Angel DNS.

DNS Cache Spoofing

DNS-spoofing er en type angrep som involverer imitasjon av DNS-serverrespons for å introdusere falsk informasjon. I et spoofing-angrep forsøker en ondsinnet bruker å gjette at en DNS-klient eller -server har sendt en DNS-spørring og venter på et DNS-svar. Et vellykket spoofing-angrep vil sette inn et falskt DNS-svar i DNS-serverens cache, en prosess kjent som cache-forgiftning. En spoofed DNS-server har ingen måte å bekrefte at DNS-data er autentisk, og vil svare fra cachen sin ved hjelp av den falske informasjonen.

DNS Cache Spoofing høres ut som DNS Cache-forgiftning, men det er en liten forskjell. DNS Cache Spoofing er et sett med metoder som brukes til å forgifte en DNS-cache. Dette kan være en tvungen oppføring til et nettverks server for å modifisere og manipulere DNC-hurtigbufferen. Dette kan være å sette opp en falsk DNS-server slik at falske svar sendes ut når det blir spurt. Det er mange måter å forgifte en DNS-cache på, og en av de vanlige måtene er DNS Cache Spoofing.

Les : Hvordan finne ut om datamaskinens DNS-innstillinger er blitt skadet ved hjelp av ipconfig.

DNS-cache-forgiftning - forebygging

Det finnes ikke mange metoder for å forhindre DNS-cache-forgiftning. Den beste metoden er å skala opp sikkerhetssystemene dine slik at ingen angripere kan kompromittere nettverket ditt og manipulere den lokale DNS-bufferen. Bruk en god brannmur som kan oppdage DNS-cache-forgiftningsangrep. Det er også et alternativ du kan vurdere å slette DNS-cachen .

Annet enn å oppgradere sikkerhetssystemer, administratorer bør oppdatere firmware og programvare for å holde sikkerhetssystemene gjeldende. Operativsystemene skal oppdateres med de nyeste oppdateringene. Det bør ikke være noen tredjeparts utgående kobling. Serveren skal være det eneste grensesnittet mellom nettverket og Internett og bør være bak en god brannmur.

De tillitssammenhengene til servere i nettverket skal flyttes høyere slik at de ikke bare spør noen server for DNS-oppløsninger. På den måten vil bare serverne med ekte sertifikater kunne kommunisere med nettverksserveren mens de løser DNS-servere.

perioden for hver oppføring i DNS-cache skal være kort, slik at DNS-poster hentes mer ofte og oppdateres. Dette kan bety lengre tidsperioder for å koble til nettsteder (til tider), men vil redusere sjansene for å bruke en forgiftet cache.

DNS Cache Locking bør konfigureres til 90% eller høyere på Windows-systemet. Cache-låsing i Windows Server lar deg kontrollere om informasjon i DNS-cachen kan overskrives. Se TechNet for mer om dette.

Bruk DNS Socket Pool , da det muliggjør en DNS-server å bruke kildeports randomisering når du utsteder DNS-spørringer.

Domenenavn System Security Extensions (DNSSEC) er en serie med utvidelser for Windows Server som legger til sikkerhet for DNS-protokollen. Du kan lese mer om dette her.

Det er to verktøy som kan interessere deg : F-Secure Router Checker kontrollerer DNS-hijacking, og WhiteHat Security Tool overvåker DNS-kapsler.

Les nå: Hva er DNS Hijacking?

Observasjon og kommentarer er velkomne.