O que é o DNS Spoofing?

Blog

O que é o DNS Spoofing? O DNS nunca foi seguro em si mesmo. Isto tem encorajado os maus agentes a explorar o problema ao longo do tempo e a desenvolver ataques sofisticados baseados no DNS, tais como a falsificação do DNS.

por Ahona Rudra

Tempo de leitura: 5 min
O que é o DNS Spoofing?
Índice-

O que é o DNS spoofing? A falsificação do DNS é uma táctica de ataque comummente utilizada para defraudar empresas. O DNS nunca foi seguro em si mesmo. Porque foi concebido nos anos 80, a segurança não era uma questão de topo quando a Internet ainda era uma curiosidade. Isto encorajou os maus agentes a explorar o problema ao longo do tempo e a desenvolver ataques sofisticados baseados no DNS, tais como a falsificação do DNS.

Definição de Spoofing DNS

A spoofing DNS é uma técnica utilizada para desviar o pedido de um web browser para um website e, em vez disso, direccionar o utilizador para um website diferente. Isto pode ser feito quer alterando o endereço IP dos servidores DNS, quer alterando o endereço IP do próprio servidor do nome de domínio.

A falsificação do DNS é frequentemente utilizada em esquemas de phishing onde os utilizadores são induzidos a visitar falsos sítios Web que parecem autênticos. Estes sites falsos podem pedir informações pessoais, tais como números de cartões de crédito ou números da Segurança Social, que os criminosos podem utilizar para roubo de identidade.

O que é um ataque de spoofing DNS?

Um ataque de spoofing DNS é quando o atacante faz-se passar por um servidor DNS e envia respostas a consultas DNS diferentes das enviadas pelo servidor legítimo.

O agressor pode enviar qualquer resposta que queira à consulta da vítima, incluindo endereços IP falsos para anfitriões ou outros tipos de informações falsas. Isto pode ser utilizado para direccionar um utilizador para um website concebido para se parecer com outro website ou para dar informações falsas sobre serviços na rede.

Em resumo, um atacante pode enganar um utilizador para que este visite um site nocivo sem que este saiba. A falsificação do DNS refere-se a qualquer tentativa de alterar os registos DNS devolvidos a um utilizador e redireccioná-los para um sítio web malicioso.

Pode ser utilizado para uma variedade de fins maliciosos, incluindo:

  • Distribuição de malware, resgate e esquemas de phishing
  • Colheita de informação do utilizador
  • Facilitar outros tipos de cibercrime.

Como funciona o DNS Spoofing?

O servidor DNS converte nomes de domínio em endereços IP para que as pessoas se possam ligar a sítios web. Se um hacker quiser enviar utilizadores para sítios maliciosos, terá primeiro de alterar as suas definições DNS. Isto pode ser feito explorando as fraquezas do sistema ou através de ataques de força bruta, onde os hackers tentam milhares de combinações diferentes até encontrarem uma que funcione.

Passo 1 - Reconhecimento

O primeiro passo para um ataque bem sucedido é o reconhecimento - descobrir o máximo de informação sobre o seu alvo. Um hacker irá estudar o seu modelo de negócio, a estrutura da rede de funcionários, e as políticas de segurança para saber que tipo de informação devem pedir e como a podem obter.

Passo 2 - Acesso

Depois de terem reunido informações suficientes sobre o seu alvo, tentam aceder ao sistema explorando vulnerabilidades de DNS ou utilizando métodos de força bruta. Depois de terem acesso, podem instalar malware no sistema para poderem monitorizar o tráfego e extrair dados sensíveis. O atacante pode enviar pacotes que se fazem passar por computadores legítimos, o que fará com que pareçam vir de outro local.

Passo 3 - Ataque

Quando o servidor de nomes receber estes pacotes, irá armazená-los na sua cache e utilizá-los da próxima vez que alguém os consultar para esta informação. Quando utilizadores autorizados tentam aceder a um site autorizado, serão redireccionados para um site não autorizado.

Métodos de spoofing DNS

Há várias maneiras de um atacante poder executá-lo, mas todas elas dependem de enganar o computador do utilizador para que este utilize um servidor DNS alternativo. Isto permite ao atacante sequestrar pedidos e enviá-los para qualquer sítio web que deseje.

1. Ataques de homem no meio

O ataque de spoofing DNS mais comum é chamado ataque de man-in-the-middle (MITM). O atacante intercepta uma comunicação por correio electrónico entre dois servidores SMTP para ler todo o seu tráfego na Internet neste tipo de ataque. O atacante intercepta então o seu pedido de resolução de um nome de domínio e envia-o através da sua rede em vez da rede real. Podem responder com qualquer endereço IP que queiram - mesmo um que pertença a um site de phishing.

2. Envenenamento por Cache DNS

O atacante utiliza uma botnet ou dispositivo comprometido na sua rede para enviar respostas falsas às consultas DNS, envenenando o cache local com informações incorrectas. Isto pode ser utilizado para o sequestro de sistemas de nomes de domínio (DNS) e ataques man-in-the-middle.

3. Sequestro de DNS

O atacante muda o seu endereço IP para aparecer como se fosse o servidor de nomes autorizado para um nome de domínio. Podem então enviar respostas DNS forjadas a um cliente solicitando informações sobre este domínio, direccionando-as para um IP controlado pelo atacante em vez de utilizarem correctamente servidores DNS públicos. Este ataque é mais comum contra clientes que não tenham implementado medidas de segurança nos seus routers ou firewalls.

Como Prevenir a Falsificação do DNS?

Implementar mecanismos de detecção de spoofing DNS

O DNSSEC é uma das soluções propostas para esta questão. DNSSEC é uma extensão para o DNS que fornece autenticação e integridade para registos e fornece dados não autorizados dos servidores DNS. Assegura que as respostas não são adulteradas durante a transmissão. Também proporciona confidencialidade ao tráfego de dados entre clientes e servidores, para que apenas aqueles com credenciais válidas o possam desencriptar.

Realizar Filtragem de Tráfego DNS Completa

A filtragem do tráfego DNS é o processo de inspecção de todo o tráfego de entrada e de saída na sua rede. Isto permite-lhe bloquear a ocorrência de qualquer actividade suspeita na sua rede. Pode fazê-lo utilizando uma firewall ou outro software de segurança que ofereça esta funcionalidade.

Aplicar Patches Regularmente aos Servidores DNS

Aplicar regularmente actualizações de segurança aos sistemas operativos, aplicações e bases de dados.

Utilizar uma Rede Privada Virtual (VPN)

Se não tiver acesso a uma ligação HTTPS, utilize VPNs fiáveis. Uma VPN cria um túnel encriptado entre o seu computador e o sítio Web ou serviço a que está a aceder. Porque encriptam o tráfego em ambas as direcções, impedindo os ISP de verem os sítios Web que está a visitar e os dados que está a enviar ou a receber.

Usar Firewalls

Instalar uma firewall em todos os sistemas que se ligam à Internet. Uma firewall irá bloquear todas as ligações de entrada que não tenham sido explicitamente permitidas pelo administrador da rede.

Utilizar Protocolos de Autenticação por Email

Pode utilizar o MTA-STS para mitigar a falsificação de DNS. As entradas guardadas no ficheiro de política MTA-STS, descarregadas através de HTTPS, são comparadas com os registos MX do seu MTA consultados através do DNS. Os MTAs também guardam em cache os ficheiros de política MTA-STS, tornando mais difícil a execução de um ataque de falsificação de DNS.

Pode monitorizar e resolver problemas de entregabilidade ao permitir o TLS-RPT, permitindo aos receptores enviar relatórios SMTP TLS para o seu endereço de correio electrónico. Isto ajudá-lo-ia a manter-se a par dos problemas com uma ligação não encriptada. 

Activar o Registo e Monitorização de Consultas DNS

Permitir o registo e monitorização de consultas DNS para que possa acompanhar quaisquer alterações não autorizadas efectuadas nos seus servidores DNS.

Palavras finais

A falsificação de DNS pode ser extremamente inconveniente tanto para os visitantes como para os proprietários do sítio web. A principal motivação de um atacante para conduzir um ataque de spoofing DNS é ou o ganho pessoal ou a transmissão de malware. Como resultado, a selecção de um serviço de alojamento DNS fiável que emprega as medidas de segurança actuais como proprietário de um sítio web é fundamental.

Além disso, como visitante do website, deve "estar ciente do que o rodeia", porque se notar quaisquer discrepâncias entre o website que esperava visitar e o website que está actualmente a navegar, deve abandonar imediatamente esse website e tentar alertar o proprietário legítimo do website.

Últimos posts de Ahona Rudra (ver todos)
Como corrigir "Falha na actualização das definições de autenticação DKIM"?Falha na actualização das definições de autenticação DKIMFalsificação de pingO que é Ping Spoofing?