Lær om DNS Cache-spoofing og DNS Cache-forgiftning

DNS står for Domain Name System, og det hjælper en browser med at finde IP-adressen på en hjemmeside, så den kan indlæse den på din computer. DNS-cachen er en fil på din internetudbyder eller din computer, der indeholder en liste over IP-adresser på ofte brugte websteder. Denne artikel forklarer, hvad DNS-cacheforgiftning og DNS-cache-spoofing er.

• Hvad er en IP-adresse?

Forgiftning af DNS-cachen

Hver gang en bruger indtaster en websteds-URL i sin browser, vil browseren kontakte en lokal fil (DNS Cache) for at se, om der er nogen poster, der ligner webstedets IP-adresse. Browsere har brug for IP-adresserne på websteder, så de kan oprette forbindelse til dem. Det er ikke muligt blot at bruge URL'en til at oprette forbindelse direkte til hjemmesiden. Den skal være forbundet til en passende IPv4- eller IPv6- IP-adresse. Hvis posten er der, vil webbrowseren bruge den; ellers vil den gå til en DNS-server for at få IP-adressen. Dette kaldes DNS-opslag.

En DNS-cache oprettes på din computer eller internetudbyders DNS-server, så mængden af ​​tid brugt på at forespørge på DNS'en for en URL reduceres. Grundlæggende er DNS-caches små filer, der indeholder IP-adresserne på forskellige websteder, der almindeligvis bruges på computere eller netværk. Før du kontakter DNS-serveren, kontakter computere på netværket den lokale server for at se, om der er nogen poster i DNS-cachen. Hvis det er, vil computeren bruge det. Ellers vil serveren kontakte DNS-serveren og hente denne IP-adresse. Det vil derefter opdatere den lokale DNS-cache med den seneste IP-adresse for webstedet.

Hver indtastning i DNS-cachen er tidsbegrænset, afhængigt af operativsystemet og nøjagtigheden af ​​DNS-opløsningen. Efter udløb vil computeren eller serveren, der indeholder DNS-cachen, kontakte DNS-serveren og opdatere indtastningen, så oplysningerne er korrekte.

Der er dog folk, der ønsker at forgifte DNS-cachen til ondsindede formål.

Cacheforgiftning betyder at ændre den faktiske værdi af URL'en. For eksempel kan cyberkriminelle oprette et websted, der ligner xyz.com, og importere dets DNS-poster til din DNS-cache. Derfor, når du skriver xyz.com i din browsers adresselinje, får den anden browser IP-adressen på den falske hjemmeside og fører dig dertil i stedet for den rigtige hjemmeside. Dette kaldes Pharming. Ved at bruge denne metode kan cyberkriminelle opdage dine loginoplysninger og mange andre oplysninger såsom kortoplysninger, personnummer, telefonnummer osv. for at stjæle data. DNS-cacheforgiftning udføres også for at introducere malware til din computer eller netværk. Når du besøger et falsk websted med en inficeret DNS-cache, kan kriminelle gøre, hvad de vil.

Nogle gange, i stedet for en lokal cache, kan kriminelle også opsætte falske DNS-servere, så de, når de bliver spurgt, kan udsende falske IP-adresser . Dette er et højt niveau af DNS-forgiftning og ødelægger de fleste DNS-caches i en bestemt region, hvilket påvirker flere brugere.

DNS-cache-spoofing

DNS-spoofing er en type angreb, der involverer efterligning af DNS-serversvar for at præsentere falsk information. I et spoofing-angreb forsøger en hacker at gætte, at en DNS-klient eller -server har sendt en DNS-forespørgsel og venter på et DNS-svar. Et vellykket spoofing-angreb indsætter et falsk DNS-svar i DNS-serverens cache. Denne proces kaldes cache-forgiftning. En slyngel DNS-server har ingen mulighed for at bekræfte, at DNS-data er autentiske og vil svare fra sin cache ved hjælp af forfalskede oplysninger.

DNS-cache-spoofing ligner DNS-cache-forgiftning, men der er en lille forskel. DNS-cache-spoofing er et sæt metoder, der bruges til at forgifte en DNS-cache. Dette kan være en tvungen adgang til computernetværksserveren for at ændre og kontrollere DNS-cachen. Dette kan konfigurere en falsk DNS-server til at sende falske svar, når der forespørges. Der er mange måder at forgifte en DNS-cache på, og en af ​​de almindelige måder er DNS-cache-spoofing.

Foranstaltninger til forebyggelse af DNS-cacheforgiftning

Der er ikke mange metoder, der kan forhindre DNS-cacheforgiftning. Den bedste tilgang er at opskalere dit sikkerhedssystem, så ingen angribere kan kompromittere dit netværk og påvirke den lokale DNS-cache. Brug af en god firewall kan opdage DNS-cache-forgiftningsangreb. At rydde din DNS-cache regelmæssigt er også en mulighed, du kan overveje.

Ud over at skalere sikkerhedssystemer bør administratorer opdatere deres hardware og software for at holde eksisterende systemer sikre. Operativsystemet bør være fejlrettet med de seneste opdateringer og bør ikke have nogen tredjeparts udgående links. Serveren skal være den eneste grænseflade mellem netværket og internettet og skal være beskyttet af en god firewall .

• Firewallløsning til små og mellemstore virksomheder

Tillidsrelationerne for serverne i netværket skal skubbes højere op, så de ikke anmoder om nogen anden server til DNS-opløsning . På den måde er det kun servere med ægte certifikater, der kan kommunikere med netværksservere, mens de løser DNS-servere.

Tidsintervallet for hver indtastning i DNS-cachen bør være kort, så DNS-poster hentes hyppigere og opdateres. Dette kan også betyde længere intervaller, når der oprettes forbindelse til websteder (kun lejlighedsvis), men vil reducere risikoen for at bruge en forurenet cache.

DNS-cachelåsning skal konfigureres til 90 % eller højere på dit Windows-system. Cachelåsning i Windows Server giver dig mulighed for at kontrollere, om oplysninger i DNS-cachen overskrives.

Brug DNS Socket Pool , fordi det tillader en DNS-server at bruge kildeporten tilfældigt, når den udsteder DNS-forespørgsler. Dette giver øget sikkerhed mod cache-forgiftningsangreb (ifølge TechNet).

Domain Name System Security Extensions (DNSSEC) - Domain Name System Security Extensions - er et sæt udvidelser til Windows Server, der tilføjer yderligere sikkerhed til DNS-protokollen.

Se mere:

• Lær om Man in the Middle-angreb - Sessionkapring
• Lær om DNS-kapring og hvordan du forhindrer det!
• Lær om Man-in-the-Middle-angreb – ARP Cache Spoofing