DNS-cacheforgiftning og spoofing - hvad er det?

DNS står for Domain Name System , og dette hjælper en browser med at finde ud af IP-adressen på en hjemmeside, så den kan indlæse den på din computer. DNS-cache er en fil på din eller din internetudbyders(ISP) computer, der indeholder en liste over IP-adresser på regelmæssigt brugte websteder. Denne artikel forklarer, hvad der er DNS -cacheforgiftning og DNS -spoofing.

DNS-cacheforgiftning

Hver gang en bruger indtaster en websteds- URL i hans eller hendes browser, kontakter browseren en lokal fil ( DNS Cache ) for at se, om der er en indgang til at løse webstedets IP-adresse. Browseren har brug for webstedernes IP-adresse, så den kan oprette forbindelse til webstedet. Det kan ikke blot bruge URL'en(URL) til at oprette direkte forbindelse til webstedet. Det skal løses til en korrekt IPv4- eller IPv6-IP -adresse. Hvis posten er der, vil webbrowseren bruge den; ellers vil den gå til en DNS -server for at få IP-adressen. Dette kaldes DNS-opslag(DNS lookup) .

En DNS - cache oprettes på din computer eller din internetudbyders (ISP)DNS - servercomputer, så mængden af ​​tid brugt på at forespørge DNS'en(DNS) af ​​en URL reduceres. Grundlæggende(Basically) er DNS -caches små filer, der indeholder IP-adressen på forskellige websteder, der ofte bruges på en computer eller et netværk. Før du kontakter DNS -servere, kontakter computere på et netværk den lokale server for at se, om der er en post i DNS - cachen. Hvis der er en, vil computerne bruge den; ellers vil serveren kontakte en DNS -server og hente IP-adressen. Derefter vil den opdatere den lokale DNScache med den seneste IP-adresse til hjemmesiden.

Hver indtastning i en DNS - cache har en tidsbegrænsning, afhængigt af operativsystemer og nøjagtigheden af ​​DNS - opløsninger. Efter periodens udløb vil computeren eller serveren, der indeholder DNS - cachen, kontakte DNS -serveren og opdatere indtastningen, så oplysningerne er korrekte.
Der er dog folk, der kan forgifte DNS -cachen for kriminel aktivitet.

At forgifte cachen(Poisoning the cache) betyder ændring af de reelle værdier af URL'er(URLs) . For eksempel kan cyberkriminelle oprette et websted, der ligner f.eks. xyz.com og indtaste dets DNS -record i din DNS - cache. Således, når du skriver xyz.com i browserens adresselinje, vil sidstnævnte hente IP-adressen på den falske hjemmeside og tage dig dertil i stedet for den rigtige hjemmeside. Dette kaldes Pharming . Ved at bruge denne metode kan cyberkriminelle phishe dine loginoplysninger og andre oplysninger såsom kortoplysninger, personnumre, telefonnumre og mere for identitetstyveri(identity theft) . DNSforgiftning udføres også for at injicere malware i din computer eller netværk. Når du lander på en falsk hjemmeside ved hjælp af en forgiftet DNS -cache, kan de kriminelle gøre hvad som helst, de vil.

Nogle gange kan kriminelle i stedet for den lokale cache også opsætte falske DNS -servere, så de, når de bliver spurgt, kan udlevere falske IP-adresser. Dette er DNS(DNS) -forgiftning på højt niveau og ødelægger de fleste DNS - cacher i et bestemt område og påvirker derved mange flere brugere.

Læs om(Read about) : Comodo Secure DNS | OpenDNS | Google offentlige DNS(Google Public DNS) | Yandex sikker DNS(Yandex Secure DNS) | Angel DNS.

DNS-cache-spoofing

DNS-cacheforgiftning og spoofing

DNS spoofing is a type of attack that involves impersonation of DNS server responses in order to introduce false information. In a spoofing attack, a malicious user attempts to guess that a DNS client or server has sent a DNS query and is waiting for a DNS response. A successful spoofing attack will insert a fake DNS response into the DNS server’s cache, a process known as cache poisoning. A spoofed DNS server has no way of verifying that DNS data is authentic, and will reply from its cache using the fake information.

DNS Cache Spoofing lyder som DNS Cache Poisoning , men der er en lille forskel. DNS Cache Spoofing er et sæt metoder, der bruges til at forgifte en DNS -cache. Dette kunne være en tvungen adgang til et computernetværks server for at ændre og manipulere DNC - cachen. Dette kan være at konfigurere en falsk DNS -server, så falske svar sendes ud, når der forespørges. Der er mange måder at forgifte en DNS -cache på, og en af ​​de almindelige måder er DNS-cache-spoofing .

Læs(Read) : Sådan finder du ud af, om din computers DNS-indstillinger er blevet kompromitteret ved hjælp af ipconfig.

DNS-cacheforgiftning – Forebyggelse

Der er ikke mange tilgængelige metoder til at forhindre DNS Cache- forgiftning. Den bedste metode er at opskalere dine sikkerhedssystemer,(scale up your security systems) så ingen angribere kan kompromittere dit netværk og manipulere den lokale DNS - cache. Brug en god firewall(good firewall) , der kan registrere DNS -cache-forgiftningsangreb. At rydde DNS-cachen(Clearing the DNS cache)(Clearing the DNS cache) ofte er også en mulighed, som nogle af jer kan overveje.

Bortset fra at opskalere sikkerhedssystemer, bør administratorer opdatere deres firmware og software(update their firmware and software) for at holde sikkerhedssystemerne opdaterede. Operativsystemer bør lappes med de seneste opdateringer. Der bør ikke være nogen udgående tredjepartslink. Serveren skal være den eneste grænseflade mellem netværket og internettet(Internet) og bør være bag en god firewall.

Tillidsrelationerne for servere(trust relations of servers) i netværket bør flyttes højere op, så de ikke beder en hvilken som helst server om DNS - opløsninger. På den måde vil kun servere med ægte certifikater være i stand til at kommunikere med netværksserveren, mens de løser DNS - servere.

Perioden for(period) hver indtastning i DNS - cachen bør være kort, så DNS - poster hentes hyppigere og opdateres. Dette kan betyde længere perioder med forbindelse til websteder (til tider), men vil reducere chancerne for at bruge en forgiftet cache.

DNS-cachelåsning(DNS Cache Locking) skal konfigureres til 90 % eller mere på dit Windows -system. Cachelåsning(Cache) i Windows Server giver dig mulighed for at kontrollere, om oplysninger i DNS - cachen kan overskrives eller ej. Se TechNet for mere om dette.

Brug DNS Socket Pool , da den gør det muligt for en DNS -server at bruge randomisering af kildeporte, når de udsteder DNS - forespørgsler. Dette giver øget sikkerhed mod cache-forgiftningsangreb, siger TechNet .

Domain Name System Security Extensions (DNSSEC) er en suite af udvidelser til Windows Server , der tilføjer sikkerhed til DNS -protokollen. Det kan du læse mere om her(here) .

Der er to værktøjer, der kan interessere dig(There are two tools that may interest you) : F-Secure Router Checker vil tjekke for DNS-kapring, og WhiteHat Security Tool overvåger DNS-kapringer.

Læs nu: (Now read:) Hvad er DNS-kapring(What is DNS Hijacking) ?

Observationer og kommentarer modtages gerne.(Observation and comments are welcome.)



Hans Lindgren

About the author

Jeg er datamatiker med over 10 års erfaring med softwareudvikling og sikkerhed. Jeg har en stærk interesse i Firefox, Chrome og Xbox-spil. Især er jeg særligt interesseret i, hvordan jeg sikrer, at min kode er sikker og effektiv.


Related posts