Vad är en DNS Hijacking attack och hur man förhindrar det

DNS är viktigt för att lösa de webbadresser du anger i adressfältet i din webbläsare. Mycket arbete går in Domännamnslösning. Det är en slags rekursiv operation som hjälper din webbläsare att få IP-adressen på webbplatsen du försöker nå ut. Om du är intresserad kan du läsa mer om DNS-sökning och servrar.

Termen DNS Cache refererar till den lokala cachen som innehåller de upplösta IP-adresserna på webbplatser som du ofta brukar. Tanken med DNS-cache är att spara tid som annars skulle spenderas på att kontakta DNS-servrar som skulle starta en uppsättning rekursiva operationer för att ta reda på den faktiska IP-adressen för den URL-adress du behöver nå. Men denna cache kan förgiftas av cyberkriminella genom att bara ändra inmatningarna i din DNS-cache till falska IP-adresser för de webbplatser du använder.

Vad är DNS Hijacking

Som namnet antyder är DNS-kapring eller omdirigering en metod som används av cyberkriminella för att kapabla din webbläsares försök att lösa IP-adressen på webbplatsen du vill ladda. För användarvänlighet är de webbadresser vi använder i textformat. För varje webbadress finns en IP-adress, och en uppsättning operationer går in på att konvertera textadressen till en numerisk IP-adress. Eftersom det finns många operationer som är inblandade i att lösa IP-adressen kan cyberkriminella dra nytta av förseningen och skicka till din dator, en falsk IP-adress som tillhör dem.

Mest vanlig metod för DNS Hijacking är att installera en skadlig kod på din dator som ändrar DNS så att närhelst din webbläsare försöker lösa en webbadress kontaktar den en av de falska DNS-servrarna istället för riktiga DNS-servrar som används av ICANN (myndighet på Internet som ansvarar för registrering domäner, hantera dem, ge dem IP-adresser, behålla kontaktadresserna och mer). De direkta DNS-servrar som din dator kontaktar är DNS-servrarna som drivs av din Internetleverantör - om du inte har ändrat dem till något annat. När en internetanslutning är köpt, är DNS-servrarna i bruk av Internetleverantören - erkänd av ICANN.

Malware på din dator ändrar standard DNS som är pålitlig av din dator för att peka på någon annan IP-adress. På det sättet, när din webbläsare försöker lösa en IP-adress, kontakter din dator en falsk DNS-server som ger dig fel IP-adress. Detta resulterar i att webbläsaren laddar upp en skadlig webbplats som kan äventyra din dator eller stjäla dina uppgifter osv.

DNS Hijacking vs DNS Cache-förgiftning

Trots att båda händer på lokal nivå, kommer deras ursprung från falska DNS-servrar. Medan DNS-kapning innebär en skadlig kod, de DNS Cache-förgiftning innebär att du skriver över din lokala DNS-cache med falska värden som omdirigerar din webbläsare till skadliga webbplatser. DNS Cache-förgiftning eller spoofing innefattar tekniker som bombardering av falska IP-adresser som datorn tar upp medan de äkta DNS-servrarna fortfarande är upptagna att lösa URL-adressen. Det är på den tiden som ägnas åt äkta DNS-servrar att lösa en webbadress skickar de cyberkriminella massor av svar som liknar URL-adressen med falska IP-adresser.

Till exempel skriver du thewindowsclub.com i din webbläsare. När en äkta DNS-server tittar upp adresserna får din dator mer än en upplösning att webbplatsen är i XYZ IP-adress. Detta gör att din dator tror att webbplatsen är hos XYZ trots att den äkta DNS-servern skickar den äkta IP-adressen eftersom cyberkriminals DNS-servrar skickat många svar med en falsk IP för thewindowsclub.com.

Denna tidsskillnad används effektivt av cyberkriminella som har många falska DNS-servrar för att få datorns anteckningar på felaktiga och skadliga IP-adresser till cacheminnet. Så en av de tio falska DNS-resolutionerna som skickas av cyberkriminals DNS-servrar har företräde framför en äkta DNS-upplösning som skickas av de äkta DNS-servrarna. Andra metoder för DNS Cache-förgiftning och förebyggande är listade i länken ovan.

Även om DNS Cache-förgiftning och DNS-kapning används omväxlande, är det en liten skillnad mellan dem. Metoden för DNS Cache-förgiftning innebär inte att man injicerar skadlig kod i ditt datorsystem men bygger på olika metoder som den som förklaras ovan, där falska DNS-servrar skickar en URL-upplösning snabbare än den äkta DNS-servern och därigenom cachen förgiftas. När cachen är förgiftad, kommer din dator att äventyras när du använder en infekterad webbplats. I fallet med DNS Hijacking är du redan infekterad. En skadlig kod ändrar din standard DNS-tjänsteleverantör till något som cyberkriminella vill ha. Och därifrån kontrollerar de dina URL-upplösningar (DNS-sökning), och sedan fortsätter de förgiftar din DNS-cache.

Så här förhindrar du DNS-kapning

Vi har diskuterat hur man förhindrar DNS-förgiftning redan. För att stoppa eller förhindra DNS-kapning, rekommenderas att du använder en bra säkerhetsprogramvara som håller bort skadlig kod som DNS-växlaren. Använda en bra brandvägg. Medan en hårdvarubaserad brandvägg är bäst, om du inte har det, kan du påminna din router brandvägg åtminstone.

Om du tror att du redan är infekterad är det bättre att ta bort innehållet i HOSTS-filen och återställa värdfilen. Efter det här, fortsätt och använd en antimalware som hjälper dig att bli av med DNS Changers.

Kontrollera om någon DNS-växlare har ändrat din DNS. Om det har, bör du ändra dina DNS-inställningar. Du kan kontrollera det automatiskt. Alternativt kan du söka efter DNS manuellt. Börja med att kontrollera DNS som nämns i Router och sedan i enskilda datorer i ditt nätverk. Jag skulle rekommendera att du spolar din DNS-DNS-cache och ändrar routerns DNS till någon annan DNS som Comodo DNS, Open DNS, Google Public DNS, Yandex Secure DNS, Angel DNS etc. En säker DNS i routern är bättre än att konfigurera varje dator.

Det finns verktyg som kan intressera dig: F-Secure Router Checker kommer att kontrollera efter DNS-kapning, detta onlineverktyg kontrollerar DNS-kapningar och WhiteHat Security Tool övervakar DNS-kapningar.

Läs nu: Vad är Domain Hijacking och hur man återställer en kapad domän.