DNS е система за имена на домейни и това помага на браузъра да разбере IP адреса на уебсайта, така че да може да го зареди на компютъра ви. DNS кеш е файл в компютъра ви или вашия интернет доставчик, който съдържа списък с IP адреси на редовно използвани уеб сайтове. Тази статия обяснява какво е DNS кеш отравяне и DNS spoofing.
DNS кеш отравяне
Всеки път, когато потребител напише URL адрес на уебсайт в неговия или нейния браузър, браузърът се свързва с локален файл (DNS кеш), за да види дали има някакъв запис за разрешаване на IP адреса на уебсайта. Браузърът се нуждае от IP адреса на уебсайтовете, за да може да се свърже с уебсайта. Тя не може просто да използва URL адреса, за да се свърже директно с уебсайта. Той трябва да бъде решен в подходящ IPv4 или IPv6 IP адрес. Ако записът е там, уеб браузърът ще го използва; в противен случай ще отиде на DNS сървър, за да получи IP адреса. Това се нарича DNS търсене.
На компютъра ви или компютъра ви за DNS сървъри на ISP е създаден DNS кеш, така че времето за претърсване на DNS на URL адрес да бъде намалено. По принцип кешовете за DNS са малки файлове, които съдържат IP адреса на различни уеб сайтове, които често се използват на компютър или мрежа. Преди да се свържете с DNS сървърите, компютрите в мрежата се свържете с локалния сървър, за да видите дали има данни в DNS кеша. Ако има такъв, компютрите ще го използват; в противен случай сървърът ще се свърже с DNS сървър и ще извлече IP адреса. Тогава ще актуализира локалния DNS кеш с най-новия IP адрес за уеб сайта.
Всеки запис в кеш DNS има определен срок, в зависимост от операционните системи и точността на резолюциите на DNS. След като изтече периодът, компютърът или сървърът, съдържащ кеша на DNS, ще се свържат с DNS сървъра и ще актуализират записа, така че информацията да е правилна. Има обаче хора, които могат да отрови DNS кеша за престъпна дейност.
Отравяне на кеша означава промяна на реалните стойности на URL адресите. Например, киберпрестъпниците могат да създадат уебсайт, който изглежда да каже, xyz.com и въведете неговия DNS запис в DNS кеша. Така, когато пишете xyz.com в адресната лента на браузъра, последният ще вземе IP адреса на фалшивия уебсайт и ще ви отведе там, вместо реалния сайт. Това се нарича Pharming. Използвайки този метод, кибер престъпниците могат да изтрият вашите данни за вход и друга информация, като например данни за картата, номер на социално осигуряване, телефонни номера и др. За кражба на самоличност. DNS отравянията се правят и за инжектиране на злонамерен софтуер във вашия компютър или мрежа. След като пристигнете на фалшив уебсайт, използващ отровен кеш DNS, престъпниците могат да направят всичко, което искат.
Понякога, вместо локалния кеш, престъпниците могат да създават и фалшиви DNS сървъри, така че, когато се питат, те могат да дават фалшиви IP адреси. Това е отравяне с DNS на високо ниво и корумпира повечето DNS кешове в определена област, като по този начин засяга много повече потребители.
Прочети за: Comodo Secure DNS OpenDNS | Публичен DNS на Google Yandex Secure DNS Angel DNS.
DNS Cache Spoofing
DNS spoofing is a type of attack that involves impersonation of DNS server responses in order to introduce false information. In a spoofing attack, a malicious user attempts to guess that a DNS client or server has sent a DNS query and is waiting for a DNS response. A successful spoofing attack will insert a fake DNS response into the DNS server’s cache, a process known as cache poisoning. A spoofed DNS server has no way of verifying that DNS data is authentic, and will reply from its cache using the fake information.
DNS кешът Spoofing звучи подобно на DNS Cache Poisoning, но има малка разлика. DNS Cache Spoofing е набор от методи, използвани за отравяне на DNS кеш. Това може да е принудително влизане в сървъра на компютърна мрежа, за да се променят и манипулират DNC кеша. Това може да бъде създаването на фалшив DNS сървър, така че да се изпращат фалшиви отговори при запитване. Има много начини да се отрови DNS кеш и един от най-честите начини е DNS Cache Spoofing.
Прочети: Как да разберете дали настройките на DNS на вашия компютър са били компрометирани чрез ipconfig.
DNS кеш отравяне - Превенция
Няма много методи за предотвратяване на отравяния с DNS кеш. Най-добрият начин е да увеличаване на вашите системи за сигурност така че никой нападател да не може да компрометира мрежата ви и да манипулира локалния DNS кеш. Използвай добра защитна стена който може да открие атаки от отравяне с кеш DNS. Изчистване на кеша на DNS често е и опция, която някои от вас може да помислят.
Освен разкриването на системите за сигурност, администраторите трябва да актуализирате техния фърмуер и софтуер за да поддържат системите за сигурност актуални. Операционните системи трябва да бъдат обвързани с най-новите актуализации. Не трябва да има изходяща връзка на трети страни. Сървърът трябва да бъде единственият интерфейс между мрежата и интернет и да е зад добра защитна стена.
Най- доверието на сървърите в мрежата трябва да се движат нагоре по-високо, така че да не искат само сървър за резолюции на DNS. По този начин само сървърите с оригинални сертификати биха могли да комуникират с мрежовия сървър, докато решават DNS сървъри.
Най- Период на всеки запис в DNS кеша трябва да е кратък, така че записите DNS да се изтеглят по-често и да се актуализират. Това може да означава по-дълги периоди от време за свързване с уеб сайтове (понякога), но ще намали шансовете за използване на отровен кеш.
Заключване на кеш DNS трябва да бъде конфигурирана до 90% или повече на вашата Windows система. Заключването на кеша в Windows Server ви позволява да контролирате дали информацията в DNS кеша да бъде презаписана или не. За повече информация вижте TechNet.
Използвай DNS сокет басейн тъй като позволява на DNS сървър да използва произволна случайна порт при подаване на заявки за DNS. Това осигурява по-голяма сигурност срещу атаки срещу отравяне с кеш, казва TechNet.
Разширения за сигурност на системите за имена на домейни (DNSSEC) е набор от разширения за Windows Server, които добавят защита към DNS протокола.Можете да прочетете повече за това тук.
Има два инструмента, които може да ви заинтересуват: F-Secure Router Checker ще провери за отвличането на DNS и WhiteHat Security Tool ще следи отвличането на DNS.
Сега прочетете: Какво е отвличането на DNS?
Наблюдаването и коментарите са добре дошли.
Подобни публикации:
- Какво представлява нападение от DNS и как да го предотвратите
- Оптимизирайте вашата интернет връзка за бързина с бенчмарк DNS
- Запознаване с DNS Lookup: A 101 Ръководство за DNS
- Yandex DNS Ð Ðμвю: По-бърз и по-сигурен интернет с контроли
- Какво представлява изтичането на DNS и как да спрете изтичането на DNS
