DNS Cache Förgiftning och Spoofing
DNS står för Domain Name System, och detta hjälper en webbläsare att räkna ut en webbplatss IP-adress så att den kan ladda den på din dator. DNS-cache är en fil på din eller din Internetleverantörs dator som innehåller en lista över IP-adresser på regelbundna webbplatser. I den här artikeln förklaras vad som är DNS-cache-förgiftning och DNS-spoofing.
DNS-cacheförgiftning
Varje gång en användare skriver en webbadress i webbläsaren kontaktar webbläsaren en lokal fil (DNS-cache) för att se om det finns någon post för att lösa webbplatsens IP-adress. Webbläsaren behöver webbplatsens IP-adress så att den kan anslutas till webbplatsen. Det kan inte bara använda webbadressen för att direkt ansluta till webbplatsen. Det måste lösas till en riktig IPv4 eller IPv6 IP-adress. Om posten är där använder webbläsaren den; annars kommer det att gå till en DNS-server för att få IP-adressen. Detta kallas som DNS-sökning.
En DNS-cache skapas på din dator eller din Internet-leverantörs DNS-serverdator, så att den tid som spenderas när du frågar DNS-adressen till en webbadress minskas. I grund och botten är DNS-cachar små filer som innehåller IP-adressen till olika webbplatser som ofta används på en dator eller ett nätverk. Innan du kontaktar DNS-servrar kontaktar datorer i ett nätverk den lokala servern för att se om det finns någon post i DNS-cachen. Om det finns en, kommer datorerna att använda det; annars kommer servern att kontakta en DNS-server och hämta IP-adressen. Då uppdateras den lokala DNS-cachen med den senaste IP-adressen för webbplatsen.
Varje post i en DNS-cache har en tidsbegränsning, beroende på operativsystem och noggrannhet av DNS-resolutioner. Efter att perioden löper ut kommer datorn eller servern som innehåller DNS-cachen att kontakta DNS-servern och uppdatera posten så att informationen är korrekt.
Det finns dock människor som kan förgifta DNS-cachen för brottslig verksamhet.
Förgiftar cachen innebär att de verkliga värdena för webbadresser ändras. Till exempel kan cyberkriminella skapa en webbplats som ser ut som att säga, xyz.com och ange dess DNS-post i din DNS-cache. Således, när du skriver xyz.com i adressfältet i webbläsaren kommer den senare att hämta IP-adressen till den falska webbplatsen och ta dig dit, istället för den verkliga webbplatsen. Detta kallas Pharming. Med hjälp av den här metoden kan cyberkriminella avfyra dina inloggningsuppgifter och annan information som kortinformation, personnummer, telefonnummer och mer för identitetsstöld. DNS-förgiftningen görs även för att injicera skadlig kod i datorn eller nätverket. När du landar på en falsk webbplats med en förgiftad DNS-cache kan brottslingar göra allt de vill ha.
Ibland kan brottslingar i stället för den lokala cachen också konfigurera falska DNS-servrar, så att de kan ge falska IP-adresser när de frågas. Detta är hög nivå DNS-förgiftning och korrumperar de flesta DNS-cacharna i ett visst område och påverkar därigenom många fler användare.
Läs om: Comodo Secure DNS | OpenDNS | Google Public DNS | Yandex Secure DNS | Ängel DNS.
DNS Cache Spoofing
DNS-spoofing är en typ av attack som involverar ombildning av DNS-serverns svar för att införa falsk information. I en spoofing-attack försöker en skadlig användare att gissa att en DNS-klient eller -server har skickat en DNS-fråga och väntar på ett DNS-svar. En framgångsrik spoofing-attack kommer att införa ett falskt DNS-svar i DNS-serverns cache, en process som kallas cache-förgiftning. En spoofed DNS-server har ingen möjlighet att verifiera att DNS-data är äkta och kommer att svara från cacheminnet med hjälp av den falska informationen.
DNS Cache Spoofing låter lik DNS Cache-förgiftning, men det är en liten skillnad. DNS Cache Spoofing är en uppsättning metoder som används för att förgifta en DNS-cache. Detta kan vara en tvingad tillträde till ett datornätverksserver för att modifiera och manipulera DNC-cacheminnet. Det här kan vara att konfigurera en falsk DNS-server så att falska svar skickas ut när du frågar. Det finns många sätt att förgifta en DNS-cache, och ett av de vanliga sätten är DNS Cache Spoofing.
Läsa: Hur får du veta om datorns DNS-inställningar har äventyras med hjälp av ipconfig.
DNS Cache Förgiftning - Förebyggande
Det finns inte många metoder tillgängliga för att förhindra DNS-cacheförgiftning. Den bästa metoden är att skala upp dina säkerhetssystem så att ingen angripare kan äventyra ditt nätverk och manipulera det lokala DNS-cacheminnet. Använda en bra brandvägg som kan upptäcka DNS-cache-förgiftningsattacker. Rensa DNS-cachen ofta är också ett alternativ som du kanske kan överväga.
Annat än att skala upp säkerhetssystem, bör administratörer uppdatera sin firmware och programvara för att hålla säkerhetssystemen aktuella. Operativsystem bör patchas med senaste uppdateringar. Det ska inte finnas någon utgående länk från tredje part. Servern ska vara det enda gränssnittet mellan nätverket och Internet och ska ligga bakom en bra brandvägg.
De lita på relationer mellan servrar i nätverket ska flyttas upp högre så att de inte bara frågar någon server för DNS-resolutioner. På så sätt skulle bara servrar med äkta certifikat kunna kommunicera med nätverksservern medan de löser DNS-servrar.
De period av varje post i DNS-cacheminnan ska vara kort så att DNS-poster hämtas oftare och uppdateras. Det kan innebära längre tidsperioder för anslutning till webbplatser (ibland) men kommer att minska risken för att använda en förgiftad cache.
DNS-cachelåsning bör konfigureras till 90% eller mer på ditt Windows-system. Cache-låsning i Windows Server kan du kontrollera om information i DNS-cachen kan skrivas över. Se TechNet för mer om detta.
Använd DNS Socket Pool eftersom det möjliggör för en DNS-server att använda källports randomisering när de utfärdar DNS-frågor. Detta ger ökad säkerhet mot cache-förgiftningsattacker, säger TechNet.
Domännamn System Security Extensions (DNSSEC) är en serie av tillägg för Windows Server som lägger till säkerhet i DNS-protokollet. Du kan läsa mer om detta här.
Det finns två verktyg som kan intressera dig: F-Secure Router Checker kontrollerar DNS-kapning och WhiteHat Security Tool övervakar DNS-kapningar.
Läs nu: Vad är DNS Hijacking?
Observation och kommentarer är välkomna.