Een DNS cache poisoning aanval (ook bekend als DNS spoofing) is een cybermisdaad waarbij kwetsbaarheden in uw Domain Name System en servers worden misbruikt. Via deze aanvallen leiden dreigingsactoren verkeer en informatie om naar een DNS die door de aanvaller wordt beheerd of naar een beschadigde website.
Wat is DNS Cache Poisoning?
DNS cache poisoning is een aanval op het Domain Name System (DNS), een systeem dat wordt gebruikt om domeinnamen te vertalen naar IP-adressen. Het staat ook bekend als DNS spoofing. Bij deze aanval vervalst een hacker de informatie die uw computer ontvangt wanneer deze om het IP-adres van een website vraagt. Dit kan ertoe leiden dat uw computer de verkeerde site opent of zelfs wordt omgeleid naar een kwaadaardige site.
DNS cache poisoning wordt beschouwd als een vorm van man-in-the-middle aanval omdat het de aanvaller in staat stelt de communicatie tussen de browser en de website te onderscheppen. Zodra ze de DNS-server hebben overgenomen, kunnen ze al uw verkeer omleiden naar hun eigen servers - dus zelfs als u "facebook.com" intypt, leiden ze u in plaats daarvan naar hun nepversie van Facebook!
Hoe vindt DNS Cache Poisoning plaats?
Het DNS: Een kort overzicht van het Domain Name System
Om de dynamiek van cache-poisoning-aanvallen beter te begrijpen, moet men een redelijk idee hebben van hoe het DNS werkt.
Het DNS, of Domain Name System, kan worden beschouwd als de telefoongids van het internet. Net als een telefoongids is een DNS een online vertaalsysteem dat complexe IP-adressen helpt omzetten in gemakkelijk te onthouden domeinnamen.
Wij kunnen ons bijvoorbeeld gemakkelijk de domeinnaam facebook.com herinneren en deze informatie gebruiken om naar believen op het internet te surfen en de website op te zoeken om toegang te krijgen tot Facebook. Als wij echter IP-adressen zoals 69.200.187.91 zouden moeten onthouden, zou dat een ondraaglijk proces zijn.
Wanneer we dus een domeinnaam opzoeken in onze browser, zet DNS de naam om in het bijbehorende IP-adres en helpt het ons de bron te vinden die we zoeken.
Hoe werkt DNS cache poisoning?
Wat nuttige informatie
Wanneer een webgebruiker vanuit een browser toegang probeert te krijgen tot een domein, geeft de DNS-oplosser de gebruiker een IP-adres om het bron-domein te lokaliseren. Hierbij kunnen meer dan één server betrokken zijn.
Dit proces staat bekend als een DNS lookup of DNS query.
Soms slaan DNS-resolvers DNS-queryverzoeken op (cache van de gegevens) om het proces voor toekomstige verzoeken te versnellen. De tijd gedurende welke deze gegevens in de cache in het opslaggeheugen van de DNS blijven, staat bekend als de TTL (Time-to-live)
De anatomie van een "cache poisoning" aanval
Bij een DNS cache poisoning-aanval levert de aanvaller vervalste IP-adresinformatie aan de cache van een DNS. Dit IP-adres behoort tot een door de aanvaller beheerd beschadigd domein. Wanneer een webgebruiker probeert toegang te krijgen tot de gewenste bron, wordt hij in plaats daarvan omgeleid naar het beschadigde domein, waar malware kan worden geïnstalleerd.
Bedenk dat een aanvaller binnen een zeer kort tijdsbestek moet werken. Hij krijgt net genoeg tijd om de aanval te lanceren tot de tijd tot leven voor de in de cache opgeslagen gegevens in de DNS verstrijkt. Het DNS, dat zich niet bewust is van deze kwaadaardige gegevens die tactvol in zijn cachingsysteem zijn ondergebracht, blijft de webgebruikers gedurende deze tijd valse informatie geven.
Hoe kan DNS Cache Poisoning u schaden?
Cache poisoning is een klassiek voorbeeld van een impersonatie aanvalwaarbij een aanvaller zich voordoet als een legitiem domein, maar in plaats daarvan gebruikers verleidt tot het bezoeken van een frauduleuze website. Dit type aanval is bijzonder schadelijk omdat er binnen het DNS geen regulerend systeem is dat onjuiste cachegegevens uitfiltert.
Dit is schadelijk om de volgende redenen:
1. Gevolgen voor de klantenloyaliteit
Dit is schadelijk voor de eigenaar van de website omdat hij zijn geloofwaardigheid begint te verliezen.
2. Installaties van kwaadaardige software
Webgebruikers kunnen malware op hun computer downloaden die hun systeem, of een volledig organisatienetwerk, kan infiltreren en gevoelige gegevens kan stelen.
3. Diefstal van legitimatiebewijzen
Webgebruikers kunnen andere gevoelige informatie zoals wachtwoorden, bankgegevens en bedrijfsgegevens lekken op de frauduleuze website en hun gegevens en/of geldelijke bezittingen verliezen.
Hoe voorkom je Cache Poisoning?
1. Werk uw antivirussoftware bij
Als u per ongeluk malware op uw apparaat hebt geïnstalleerd vanaf een kwaadaardige site, moet u snel handelen. Werk uw antivirussoftware bij naar de nieuwste versie en voer een volledige scan van uw besturingssysteem uit om de malware te detecteren en te verwijderen.
2. Implementeer DNSSEC
DNSSEC is een beveiligingsuitbreiding voor uw domeinnaamsysteem. Hoewel het DNS geen inherent beveiligingsbeleid heeft, kan het DNSSEC-protocol cache-poisoning-aanvallen helpen voorkomen door middel van cryptografie met een openbare sleutel.
3. Stop DNS spoofing met MTA-STS
SMTP-server onderschepping kan worden voorkomen via end-to-end TLS-encryptie van uw e-mailkanalen met MTA-STS. De Mail Transfer Agent Strict Transport Security is een authenticatieprotocol dat het voor servers verplicht stelt TLS-encryptie van e-mails tijdens de overdracht te ondersteunen.
Naast deze strategieën kunt u ook DNS-beveiligingstools gebruiken om uw DNS-servers en websites te beveiligen. Deze tools leiden het webverkeer om via filters die malwarehandtekeningen en andere potentieel schadelijke websites en media identificeren.
Conclusie
Het is belangrijk op te merken dat, hoewel dit preventieve maatregelen zijn, beveiliging thuis begint. Door u meer bewust te worden van bedreigingsvectoren en beste beveiligingspraktijken kunt u aanvallen op de lange termijn beperken. Zorg ervoor dat u altijd sterkere wachtwoorden instelt, klik nooit op verdachte koppelingen en bijlagen en leeg regelmatig uw DNS-cache.
