Hva er DNS Cache Poisoning Attack?

Hva er DNS Cache Poisoning Attack

Et DNS-cache-forgiftningsangrep (også kjent som DNS-spoofing ) er en nettkriminalitet som utnytter sårbarheter i ditt domenenavnsystem og servere. Gjennom disse angrepene viderekobler trusselaktører trafikk og informasjon til en angriperkontrollert DNS eller et ødelagt nettsted.

Hva er DNS Cache-forgiftning? 

DNS-cache-forgiftning er et angrep på Domain Name System (DNS), som er et system som brukes til å oversette domenenavn til IP-adresser. Det er også kjent som DNS-spoofing. I dette angrepet forfalsker en hacker informasjonen som datamaskinen din mottar når den ber om en nettsides IP-adresse. Dette kan føre til at datamaskinen din får tilgang til feil nettsted eller til og med blir omdirigert til et ondsinnet nettsted.

DNS-cache-forgiftning anses å være en form for man-in-the-middle-angrep fordi det lar angriperen avskjære kommunikasjonen mellom nettleseren og nettstedet. Når de har overtatt DNS-serveren, kan de omdirigere all trafikken din til sine egne servere – så selv om du skriver inn «facebook.com», vil de lede deg til deres falske versjon av Facebook i stedet!

Hvordan skjer DNS Cache-forgiftning?

DNS: En kort oversikt over domenenavnsystemet

For bedre å forstå dynamikken i cache-forgiftningsangrep, må man ha en god ide om hvordan DNS fungerer. 

DNS, eller Domain Name System kan betraktes som Internetts katalog. På samme måte som e-telefonkatalogen, er en DNS et online oversettelsessystem som hjelper til med å konvertere komplekse IP-adresser til domenenavn som er enkle å huske. 

For eksempel kan vi enkelt huske og huske domenenavnet facebook.com, og kan bruke denne informasjonen til å surfe på internett etter ønske og slå opp nettsiden for å få tilgang til Facebook. Men hvis vi skulle huske IP-adresser som 69.200.187.91, ville det vært en uutholdelig prosess. 

Derfor, når vi slår opp et domenenavn i nettleseren vår, løser DNS navnet til sin påfølgende IP-adresse og hjelper oss med å finne ressursen vi leter etter. 

Hvordan fungerer DNS-bufferforgiftning?

Litt nyttig informasjon

Når en nettbruker prøver å få tilgang til et domene fra en nettleser, gir DNS-resolveren brukeren en IP-adresse for å finne ressursdomenet. Mer enn én server kan være involvert i dette. 

Denne prosessen er kjent som et DNS-oppslag eller DNS-spørring. 

Noen ganger lagrer DNS-resolvere DNS-forespørsler (bufrer dataene) for å fremskynde prosessen for fremtidige forespørsler. Tiden som disse dataene forblir bufret i lagringsminnet til DNS er kjent som Time-to-live (TTL) 

Anatomien til et cache-forgiftningsangrep

Under et DNS-cache-forgiftningsangrep leverer angriperen forfalsket IP-adresseinformasjon til en DNS-buffer . Denne IP-adressen tilhører et angriperkontrollert ødelagt domene. Når en nettbruker prøver å få tilgang til den ønskede ressursen, blir han i stedet omdirigert til det ødelagte domenet som kan forårsake skadelig programvare. 

 

Husk at en angriper må fungere innen en svært kort tidsramme. Han får akkurat nok tid til å starte angrepet til tiden for å leve for de bufrede dataene som er lagret i DNS utløper. DNS, uvitende om disse ondsinnede dataene som taktfullt har blitt lagret i bufringssystemet, fortsetter å gi falsk informasjon til nettbrukerne gjennom denne tiden. 

Hvordan kan DNS Cache-forgiftning skade deg?

Bufferforgiftning er et klassisk eksempel på et etterligningsangrep , der en angriper utga seg for å være et legitimt domene, men i stedet lurer brukere til å besøke et uredelig nettsted. Denne typen angrep er spesielt virkningsfull siden det ikke er noe reguleringssystem i DNS som filtrerer ut feil bufrede data.

Dette er skadelig på grunn av følgende årsaker: 

1. Innvirkning på kundelojalitet

Dette er skadelig for eieren av nettstedet når de begynner å miste troverdighet. 

2. Installasjoner av skadelig programvare

Nettbrukere kan laste ned skadelig programvare på datamaskinen deres som kan infiltrere systemet deres, eller et helt organisasjonsnettverk og stjele sensitive data.

3. Legitimasjonstyveri

Nettbrukere kan lekke annen sensitiv informasjon som passord, bank- og bedriftslegitimasjon på den uredelige nettsiden og miste data og/eller pengemidler.

Hvordan forhindre cacheforgiftning? 

1. Oppdater antivirusprogramvaren

Hvis du ved et uhell har installert skadelig programvare på enheten din fra et ondsinnet nettsted, må du handle raskt. Oppdater antivirusprogramvaren til den nyeste versjonen og kjør en full skanning av operativsystemet ditt for å oppdage og fjerne skadelig programvare. 

2. Distribuer DNSSEC

DNSSEC er en sikkerhetsutvidelse for ditt domenenavnsystem. Selv om DNS ikke iboende kommer med en sikkerhetspolicy, kan DNSSEC-protokollen bidra til å forhindre cache-forgiftningsangrep gjennom offentlig nøkkelkryptering. 

3. Stopp DNS-spoofing med MTA-STS

SMTP-serveravskjæringer kan forhindres via ende-til-ende TLS-kryptering av e-postkanalene dine med MTA-STS . Mail Transfer Agent Strict Transport Security er en autentiseringsprotokoll som gjør det obligatorisk for servere å støtte TLS-kryptering av e-poster under overføring.

I tillegg til disse strategiene kan du også bruke DNS-sikkerhetsverktøy for å sikre dine DNS-servere og nettsteder. Disse verktøyene omdirigerer nettrafikk gjennom filtre som identifiserer signaturer for skadelig programvare og andre potensielt skadelige nettsteder og medier.

Konklusjon

Det er viktig å merke seg at selv om dette er forebyggende tiltak, starter sikkerheten hjemme. Økt bevissthet om trusselvektorer og beste praksis for sikkerhet kan hjelpe deg med å redusere angrep på lang sikt. Sørg for at du alltid setter opp sterkere passord, klikk aldri på mistenkelige lenker og vedlegg og tøm DNS-bufferen regelmessig.

DNS cache-forgiftning

Siste innlegg av Ahona Rudra ( se alle )
/av
Hva er SPF Record i DNS?Hva er SPF Record i DNSLøsninger mot phishingAnti-phishing-løsninger