DNS-cacheförgiftning och spoofing - vad är det?

DNS står för Domain Name System , och detta hjälper en webbläsare att ta reda på IP-adressen till en webbplats så att den kan ladda den på din dator. DNS-cache är en fil på din eller din internetleverantörs(ISP) dator som innehåller en lista över IP-adresser till webbplatser som används regelbundet. Den här artikeln förklarar vad som är DNS- cacheförgiftning och DNS- spoofing.

DNS-cacheförgiftning

Varje gång en användare skriver in en webbadress(URL) i sin webbläsare kontaktar webbläsaren en lokal fil ( DNS-cache ) för att se om det finns en post för att lösa webbplatsens IP-adress. Webbläsaren behöver webbsidornas IP-adress så att den kan ansluta till webbplatsen. Det kan inte bara använda URL :en för att direkt ansluta till webbplatsen. Det måste lösas till en korrekt IPv4- eller IPv6-IP- adress. Om posten finns där kommer webbläsaren att använda den; annars går den till en DNS -server för att få IP-adressen. Detta kallas DNS-uppslagning(DNS lookup) .

En DNS- cache skapas på din dator eller din Internetleverantörs(ISP) DNS -(DNS) serverdator så att den tid som spenderas på att söka efter DNS för en URL minskar. I grund och botten(Basically) är DNS- cacher små filer som innehåller IP-adressen till olika webbplatser som ofta används på en dator eller ett nätverk. Innan du kontaktar DNS- servrar kontaktar datorer i ett nätverk den lokala servern för att se om det finns en post i DNS- cachen. Om det finns en, kommer datorerna att använda den; annars kommer servern att kontakta en DNS -server och hämta IP-adressen. Sedan kommer den att uppdatera den lokala DNScache med den senaste IP-adressen för webbplatsen.

Varje post i en DNS- cache har en tidsgräns som är inställd, beroende på operativsystem och noggrannheten hos DNS- upplösningar. Efter att perioden löpt ut kommer datorn eller servern som innehåller DNS- cachen att kontakta DNS -servern och uppdatera posten så att informationen stämmer.
Det finns dock människor som kan förgifta DNS- cachen för kriminell aktivitet.

Att förgifta cachen(Poisoning the cache) innebär att de verkliga värdena för webbadresser(URLs) ändras . Till exempel kan cyberbrottslingar skapa en webbplats som ser ut som xyz.com och ange dess DNS -post i din DNS- cache. Således, när du skriver xyz.com i webbläsarens adressfält, kommer den senare att hämta IP-adressen för den falska webbplatsen och ta dig dit, istället för den riktiga webbplatsen. Detta kallas för Pharming . Med den här metoden kan cyberbrottslingar nätfiska dina inloggningsuppgifter och annan information som kortuppgifter, personnummer, telefonnummer och mer för identitetsstöld(identity theft) . DNSförgiftning görs också för att injicera skadlig programvara i din dator eller nätverk. När du väl landar på en falsk webbplats med hjälp av en förgiftad DNS- cache kan brottslingarna göra vad de vill.

Ibland, istället för den lokala cachen, kan brottslingar också ställa in falska DNS- servrar så att de kan ge ut falska IP-adresser när de efterfrågas. Detta är DNS(DNS) -förgiftning på hög nivå och korrumperar de flesta DNS- cachar i ett visst område och påverkar därmed många fler användare.

Läs om(Read about) : Comodo Secure DNS | OpenDNS | Google Public DNS | Yandex Secure DNS | Ängel DNS.

DNS-cacheförfalskning

DNS-cacheförgiftning och spoofing

DNS spoofing is a type of attack that involves impersonation of DNS server responses in order to introduce false information. In a spoofing attack, a malicious user attempts to guess that a DNS client or server has sent a DNS query and is waiting for a DNS response. A successful spoofing attack will insert a fake DNS response into the DNS server’s cache, a process known as cache poisoning. A spoofed DNS server has no way of verifying that DNS data is authentic, and will reply from its cache using the fake information.

DNS Cache Spoofing låter som DNS Cache Poisoning , men det finns en liten skillnad. DNS-cache-spoofing är en uppsättning metoder som används för att förgifta en DNS- cache. Detta kan vara ett påtvingat inträde till ett datornätverks server för att modifiera och manipulera DNC- cachen. Detta kan vara att ställa in en falsk DNS -server så att falska svar skickas ut när de efterfrågas. Det finns många sätt att förgifta en DNS- cache, och ett av de vanligaste sätten är DNS-cache-spoofing .

Läs(Read) : Så här tar du reda på om din dators DNS-inställningar har äventyrats med ipconfig.

DNS-cacheförgiftning – Förebyggande

Det finns inte många tillgängliga metoder för att förhindra DNS-cacheförgiftning(DNS Cache) . Den bästa metoden är att skala upp dina säkerhetssystem(scale up your security systems) så att ingen angripare kan äventyra ditt nätverk och manipulera den lokala DNS- cachen. Använd en bra brandvägg(good firewall) som kan upptäcka DNS- cacheförgiftningsattacker. Att rensa DNS-cacheminnet(Clearing the DNS cache)(Clearing the DNS cache) ofta är också ett alternativ som vissa av er kan överväga.

Förutom att skala upp säkerhetssystemen bör administratörer uppdatera sin firmware och mjukvara(update their firmware and software) för att hålla säkerhetssystemen aktuella. Operativsystem bör patchas med de senaste uppdateringarna. Det bör inte finnas någon utgående länk från tredje part. Servern ska vara det enda gränssnittet mellan nätverket och Internet och bör ligga bakom en bra brandvägg.

Förtroenderelationerna för servrar(trust relations of servers) i nätverket bör flyttas upp högre så att de inte ber vilken server som helst om DNS- upplösningar. På så sätt skulle bara servrarna med äkta certifikat kunna kommunicera med nätverksservern samtidigt som de löser DNS- servrar.

Perioden för(period) varje post i DNS- cachen bör vara kort så att DNS- poster hämtas oftare och uppdateras. Detta kan innebära längre tidsperioder för anslutning till webbplatser (ibland) men kommer att minska chanserna att använda en förgiftad cache.

DNS-cachelåsning(DNS Cache Locking) bör konfigureras till 90 % eller mer på ditt Windows- system. Cachelåsning(Cache) i Windows Server låter dig styra om information i DNS- cacheminnet kan skrivas över eller inte. Se TechNet för mer om detta.

Använd DNS Socket Pool eftersom den gör det möjligt för en DNS -server att använda randomisering av källportar när DNS- frågor skickas. Detta ger ökad säkerhet mot cacheförgiftningsattacker, säger TechNet .

Domain Name System Security Extensions (DNSSEC) är en svit med tillägg för Windows Server som lägger till säkerhet till DNS- protokollet. Du kan läsa mer om detta här(here) .

Det finns två verktyg som kan intressera dig(There are two tools that may interest you) : F-Secure Router Checker söker efter DNS-kapning och WhiteHat Security Tool övervakar DNS-kapningar.

Läs nu: (Now read:) Vad är DNS-kapning(What is DNS Hijacking) ?

Observationer och kommentarer är välkomna.(Observation and comments are welcome.)



Martin Gustafsson

About the author

Jag är en webbutvecklare med över 10 års erfarenhet av att arbeta med webbläsarna Firefox och Google Docs. Jag är specialist på att skapa enkla men kraftfulla onlineapplikationer och har utvecklat webbaserade lösningar för både små företag och stora organisationer. Min kundbas inkluderar några av de största företagen, inklusive FedEx, Coca Cola och Macy's. Mina kunskaper som utvecklare gör mig till en idealisk kandidat för alla projekt som behöver slutföras snabbt och effektivt - från att utveckla anpassade webbplatser till att skapa robusta e-postmarknadsföringskampanjer.


Related posts