Hva er DNS-spoofing?

Hva er DNS-spoofing 1

Hva er DNS-spoofing? DNS-spoofing er en angrepstaktikk som ofte brukes for å svindle selskaper. DNS har aldri vært sikker i seg selv. Fordi den ble designet på 1980-tallet, var ikke sikkerhet et hovedproblem da Internett fortsatt var en kuriositet. Dette har oppmuntret dårlige aktører til å utnytte problemet over tid og utvikle sofistikerte DNS-baserte angrep, som for eksempel DNS-spoofing.

Definisjon av DNS-spoofing

DNS-spoofing er en teknikk som brukes til å kapre en nettlesers forespørsel om et nettsted og i stedet lede brukeren til et annet nettsted. Dette kan gjøres ved enten å endre IP-adressen til DNS-servere eller endre IP-adressen til selve domenenavnserveren.

DNS-spoofing brukes ofte i phishing-opplegg der brukere blir lurt til å besøke falske nettsider som ser ut som autentiske. Disse falske nettstedene kan be om personlig informasjon som kredittkortnumre eller personnummer, som kriminelle kan bruke til identitetstyveri.

Hva er et DNS-spoofing-angrep?

Et DNS-spoofing-angrep er når angriperen utgir seg for å være en DNS-server og sender svar på DNS-spørringer som er forskjellige fra de som sendes av den legitime serveren.

Angriperen kan sende et hvilket som helst svar han vil på offerets forespørsel, inkludert falske IP-adresser for verter eller andre typer falsk informasjon. Dette kan brukes til å lede en bruker til et nettsted designet for å se ut som et annet nettsted eller gi ut falsk informasjon om tjenester på nettverket.

I et nøtteskall kan en angriper lure en bruker til å besøke et skadelig nettsted uten at de vet det. DNS-spoofing refererer til ethvert forsøk på å endre DNS-postene som returneres til en bruker og omdirigere dem til et ondsinnet nettsted.

Den kan brukes til en rekke ondsinnede formål, inkludert:

  • Distribusjon av skadelig programvare, løsepengevare og phishing-svindel
  • Innsamling av brukerinformasjon
  • Tilrettelegging for andre typer nettkriminalitet.

Hvordan fungerer DNS-spoofing?

DNS-serveren konverterer domenenavn til IP-adresser slik at folk kan koble seg til nettsteder. Hvis en hacker ønsker å sende brukere til ondsinnede nettsteder, må de først endre DNS-innstillingene. Dette kan gjøres ved å utnytte svakheter i systemet eller gjennom brute force-angrep hvor hackere prøver tusenvis av forskjellige kombinasjoner til de finner en som fungerer.

Trinn 1 – Rekon

Det første trinnet i et vellykket angrep er rekognosering – å finne ut så mye informasjon om målet ditt. En hacker vil studere forretningsmodellen din, ansattes nettverksstruktur og sikkerhetspolicyer for å vite hva slags informasjon de bør be om og hvordan de kan få den.

Trinn 2 – Tilgang

Når de har samlet nok informasjon om målet sitt, vil de forsøke å få tilgang til systemet ved å utnytte sårbarheter eller bruke brute force-metoder. Når de har tilgang, kan de installere skadelig programvare på systemet for å tillate dem å overvåke trafikk og trekke ut sensitive data. Angriperen kan sende pakker som hevder å være fra legitime datamaskiner, noe som vil få dem til å se ut som de kommer fra et annet sted.

Trinn 3 – Angrep

Når navneserveren mottar disse pakkene, vil den lagre dem i hurtigbufferen og bruke dem neste gang noen spør etter denne informasjonen. Når autoriserte brukere prøver å få tilgang til et autorisert nettsted, vil de bli omdirigert til et uautorisert nettsted i stedet.

DNS-forfalskningsmetoder

Det er flere måter en angriper kan utføre det på, men de er alle avhengige av å lure brukerens datamaskin til å bruke en alternativ DNS-server. Dette lar angriperen kapre forespørsler og sende dem til hvilket nettsted de vil.

1. Man-in-the-Middle-angrep

Det vanligste DNS-spoofing-angrepet kalles et man-in-the-middle-angrep (MITM). Angriperen avskjærer en e-postkommunikasjon mellom to SMTP-servere for å lese all Internett-trafikken din i denne typen angrep. Angriperen avskjærer deretter forespørselen din om en domenenavnoppløsning og sender den gjennom nettverket deres i stedet for det faktiske. De kan svare med hvilken som helst IP-adresse de vil – til og med en som tilhører et phishing-nettsted.

2. DNS Cache-forgiftning

Angriperen bruker et botnett eller en kompromittert enhet på nettverket for å sende falske svar på DNS-spørringer, og forgifte den lokale cachen med feil informasjon. Dette kan brukes til å kapre domenenavnsystemer (DNS) og man-in-the-middle-angrep.

3. DNS-kapring

Angriperen endrer IP-adressen til å se ut som om de er den autoritative navnetjeneren for et domenenavn. De kan deretter sende falske DNS-svar til en klient som ber om informasjon om dette domenet, og dirigerer dem mot en IP kontrollert av angriperen i stedet for å bruke offentlige DNS-servere riktig. Dette angrepet er mest vanlig mot kunder som ikke har implementert sikkerhetstiltak på rutere eller brannmurer.

Hvordan forhindre DNS-spoofing?

Implementer DNS-spoofing-deteksjonsmekanismer

DNSSEC er en av de foreslåtte løsningene for dette problemet. DNSSEC er en utvidelse for DNS som gir autentisering og integritet for poster og gir ikke-autoritative data fra DNS-servere. Det sikrer at svar ikke tukles med under overføring. Det gir også konfidensialitet for datatrafikk mellom klienter og servere, slik at bare de med gyldig legitimasjon kan dekryptere den.

Utfør grundig DNS-trafikkfiltrering

DNS-trafikkfiltrering er prosessen med å inspisere all innkommende og utgående trafikk på nettverket ditt. Dette lar deg blokkere mistenkelig aktivitet på nettverket ditt. Du kan gjøre dette ved å bruke en brannmur eller annen sikkerhetsprogramvare som tilbyr denne funksjonaliteten.

Bruk patcher regelmessig på DNS-servere

Bruk sikkerhetsoppdateringer til operativsystemer, applikasjoner og databaser regelmessig.

Bruk et virtuelt privat nettverk (VPN)

Hvis du ikke har tilgang til en HTTPS-tilkobling, kan du bruke et pålitelig VPN. Et VPN oppretter en kryptert tunnel mellom datamaskinen din og nettstedet eller tjenesten du besøker. Fordi de krypterer trafikken i begge retninger, hindrer de internettleverandørene i å se hvilke nettsteder du besøker og hvilke data du sender eller mottar.

Bruk brannmurer

Installer en brannmur på hvert system som kobles til Internett. En brannmur vil blokkere alle innkommende tilkoblinger som ikke er eksplisitt tillatt av nettverksadministratoren.

Bruk e-postautentiseringsprotokoller

Du kan bruke MTA-STS for å redusere DNS-spoofing. Oppføringene som er lagret i MTA-STS-policyfilen, lastet ned over HTTPS, sammenlignes med MTA-ens MX-poster som er spurt over DNS. MTA-er bufrer også MTA-STS-policyfiler, noe som gjør et DNS-spoofing-angrep vanskeligere å utføre.

Du kan overvåke og løse leveringsproblemer ved å aktivere TLS-RPT, slik at mottakere kan sende over SMTP TLS-rapporter til e-postadressen din. Dette vil hjelpe deg å holde deg oppdatert på problemer med en ukryptert tilkobling. 

Aktiver logging og overvåking av DNS-spørringer

Aktiver logging og overvåking av DNS-spørringer slik at du kan spore eventuelle uautoriserte endringer som er gjort på DNS-serverne dine.

Siste ord

DNS-spoofing kan være ekstremt upraktisk for både besøkende og eiere av nettstedet. En angripers primære motivasjon for å utføre et DNS-spoofing-angrep er enten personlig vinning eller overføring av skadelig programvare. Som et resultat er det avgjørende å velge en pålitelig DNS-vertstjeneste som bruker gjeldende sikkerhetstiltak som nettstedeier.

Videre, som besøkende på nettstedet, bør du "være oppmerksom på omgivelsene dine", fordi hvis du oppdager uoverensstemmelser mellom nettstedet du forventet å besøke og nettstedet du for øyeblikket surfer på, bør du umiddelbart forlate nettstedet og prøve å varsle det legitime nettstedet Eieren.

DNS-spoofing

Siste innlegg av Ahona Rudra ( se alle )
/av
Hvordan fikser jeg "oppdatering av DKIM-autentiseringsinnstillinger mislyktes"?Oppdatering av DKIM-autentiseringsinnstillinger mislyktesPing-spoofingHva er Ping Spoofing?