Atak DNS cache poisoning (znany również jako DNS spoofing) to cyberprzestępstwo wykorzystujące luki w systemie nazw domen i serwerach. Poprzez te ataki, aktorzy zagrożeń przekierowują ruch i informacje do kontrolowanego przez atakującego DNS lub uszkodzonej strony internetowej.
Czym jest DNS Cache Poisoning?
DNS cache poisoning to atak na Domain Name System (DNS), czyli system służący do tłumaczenia nazw domen na adresy IP. Jest on również znany jako DNS spoofing. W tym ataku haker fałszuje informacje, które komputer otrzymuje, gdy prosi o adres IP witryny. Może to spowodować, że komputer uzyska dostęp do niewłaściwej witryny lub nawet zostanie przekierowany do złośliwej witryny.
Zatruwanie pamięci podręcznej DNS jest uważane za formę ataku typu man-in-the-middle, ponieważ umożliwia napastnikowi przechwycenie komunikacji między przeglądarką a stroną internetową. Po przejęciu serwera DNS, może on przekierować cały ruch na swoje własne serwery - nawet jeśli wpiszesz "facebook.com", skieruje Cię na swoją fałszywą wersję Facebooka!
Jak odbywa się DNS Cache Poisoning?
DNS: Krótki przegląd systemu nazw domen
Aby lepiej zrozumieć dynamikę ataków cache poisoning, trzeba mieć rzetelne pojęcie o tym, jak działa DNS.
DNS, czyli Domain Name System można uznać za internetowy katalog. Podobnie jak książka telefoniczna, DNS jest systemem tłumaczącym online, który pomaga przekształcić złożone adresy IP w łatwe do zapamiętania nazwy domen.
Na przykład, możemy łatwo przywołać i zapamiętać nazwę domeny facebook.com, i możemy użyć tej informacji do przeglądania Internetu w woli i lookup strony internetowej, aby uzyskać dostęp do Facebooka. Gdybyśmy jednak mieli zapamiętać adresy IP, takie jak 69.200.187.91, byłby to proces ekscytujący.
Stąd, gdy szukamy nazwy domeny w naszej przeglądarce, DNS rozwiązuje nazwę na jej kolejny adres IP i pomaga nam zlokalizować poszukiwany zasób.
Jak działa DNS cache poisoning?
Kilka przydatnych informacji
Kiedy użytkownik sieci próbuje uzyskać dostęp do domeny z przeglądarki, DNS resolver dostarcza użytkownikowi adres IP, aby zlokalizować domenę zasobów. Więcej niż jeden serwer może być zaangażowany w to.
Proces ten znany jest jako DNS lookup lub DNS query.
Czasami resolwery DNS przechowują zapytania DNS (buforują dane) w celu przyspieszenia procesu dla przyszłych zapytań. Czas, przez który te dane pozostają zbuforowane w pamięci masowej DNS jest znany jako Time-to-live (TTL)
Anatomia ataku polegającego na zatruwaniu pamięci podręcznej
Podczas ataku DNS cache poisoning, atakujący dostarcza do pamięci podręcznej DNS sfałszowane informacje o adresie IP. Ten adres IP należy do kontrolowanej przez atakującego uszkodzonej domeny. Gdy użytkownik sieci próbuje uzyskać dostęp do żądanego zasobu, zostaje przekierowany na uszkodzoną domenę, co może skutkować instalacją złośliwego oprogramowania.
Należy pamiętać, że atakujący musi działać w bardzo krótkim czasie. Ma on wystarczająco dużo czasu na przeprowadzenie ataku do momentu, gdy upłynie czas życia danych przechowywanych w pamięci podręcznej DNS. DNS, nieświadomy tych złośliwych danych, które zostały taktownie umieszczone w jego systemie buforowania, przez cały ten czas podaje fałszywe informacje użytkownikom sieci.
Jak DNS Cache Poisoning może Ci zaszkodzić?
Zatruwanie pamięci podręcznej jest klasycznym przykładem ataku atak podszywający sięgdzie atakujący udaje, że jest legalną domeną, ale zamiast tego oszukuje użytkowników, aby odwiedzili fałszywą stronę internetową. Ten rodzaj ataku jest szczególnie dotkliwy, ponieważ w ramach DNS nie istnieje żaden system regulacyjny, który filtruje nieprawidłowe dane z pamięci podręcznej.
Jest to szkodliwe z następujących powodów:
1. Wpływ na lojalność klientów
Jest to szkodliwe dla właściciela strony, gdyż zaczyna on tracić wiarygodność.
2. Instalacje złośliwego oprogramowania
Użytkownicy sieci mogą pobrać na swój komputer złośliwe oprogramowanie, które może przeniknąć do ich systemu, lub całej sieci organizacyjnej i wykraść wrażliwe dane.
3. Kradzież danych uwierzytelniających
Użytkownicy sieci mogą ujawnić inne poufne informacje, takie jak hasła, dane bankowe i poświadczenia korporacyjne na oszukańczej stronie internetowej i utracić swoje dane i/lub aktywa pieniężne.
Jak zapobiegać Cache Poisoning?
1. Zaktualizuj swoje oprogramowanie antywirusowe
Jeśli przypadkowo zainstalowałeś na swoim urządzeniu złośliwe oprogramowanie ze złośliwej strony, musisz działać szybko. Zaktualizuj swoje oprogramowanie antywirusowe do najnowszej wersji i uruchom pełne skanowanie systemu operacyjnego, aby wykryć i usunąć złośliwe oprogramowanie.
2. Wdrożenie DNSSEC
DNSSEC jest rozszerzeniem bezpieczeństwa dla systemu nazw domen. Podczas gdy DNS nie jest z natury wyposażony w politykę bezpieczeństwa, protokół DNSSEC może pomóc w zapobieganiu atakom typu cache poisoning poprzez kryptografię klucza publicznego.
3. Zatrzymaj spoofing DNS za pomocą MTA-STS
Przechwycenie przez serwer SMTP może zostać uniemożliwione dzięki szyfrowaniu TLS end-to-end kanałów pocztowych za pomocą MTA-STS. Mail Transfer Agent Strict Transport Security to protokół uwierzytelniania, który nakłada na serwery obowiązek obsługi szyfrowania TLS wiadomości e-mail podczas transferu.
Oprócz tych strategii, można również użyć narzędzi bezpieczeństwa DNS do zabezpieczenia serwerów DNS i stron internetowych. Narzędzia te przekierowują ruch internetowy przez filtry, które identyfikują sygnatury złośliwego oprogramowania i inne potencjalnie złośliwe strony i media.
Wniosek
Należy pamiętać, że choć są to środki zapobiegawcze, bezpieczeństwo zaczyna się w domu. Zwiększanie świadomości na temat wektorów zagrożeń i najlepszych praktyk bezpieczeństwa może pomóc w łagodzeniu ataków w dłuższej perspektywie. Upewnij się, że zawsze ustawiasz silniejsze hasła, nigdy nie klikaj na podejrzane linki i załączniki oraz regularnie czyść pamięć podręczną DNS.
