Что такое атака DNS Hijacking и как ее предотвратить

DNS играет важную роль в разрешении URL(URLs) -адресов , которые вы вводите в адресную строку браузера. Много работы уходит на разрешение доменных имен(Domain Name Resolution) . Это своего рода рекурсивная операция, которая помогает вашему браузеру получить IP-адрес веб-сайта, к которому вы пытаетесь обратиться. Если интересно, вы можете прочитать больше о DNS Lookup и серверах(DNS Lookup and Servers) .

Термин DNS-кэш(DNS Cache) относится к локальному кешу, который содержит разрешенные IP-адреса веб-сайтов, которые вы часто посещаете. Идея DNS-кэша(DNS Cache) состоит в том, чтобы сэкономить время, которое в противном случае было бы потрачено на обращение к DNS -серверам, которые запустили бы набор рекурсивных операций, чтобы узнать фактический IP-адрес URL -адреса , который вам нужен. Но этот кеш может быть отравлен киберпреступниками, просто изменив записи в вашем кеше DNS на поддельные IP-адреса для веб-сайтов, которые вы используете.

DNS-угон

Что такое перехват DNS

Как следует из названия, перехват или перенаправление (Redirection)DNS(DNS Hijacking) — это метод, используемый киберпреступниками для перехвата попытки вашего браузера определить IP-адрес веб-сайта, который вы хотите загрузить. Для простоты использования URL(URLs) -адреса , которые мы используем, имеют текстовый формат. Для каждого URL -адреса существует IP-адрес, и выполняется ряд операций по преобразованию текстового URL -адреса в числовой IP-адрес. Поскольку существует множество операций, связанных с разрешением IP-адреса, киберпреступники могут воспользоваться задержкой и отправить на ваш компьютер поддельный IP-адрес, который принадлежит им.

Наиболее распространенным методом перехвата DNS(common method for DNS Hijacking) является установка на ваш компьютер вредоносного ПО, которое изменяет DNS таким образом, что всякий раз, когда ваш браузер пытается разрешить URL -адрес , он связывается с одним из поддельных DNS - серверов вместо настоящих DNS - серверов, которые используются ICANN (уполномоченный Интернет(Internet) , который отвечает за регистрацию доменов, управление ими, предоставление им IP-адресов, поддержание контактных адресов и многое другое). Прямые DNS -серверы, с которыми связывается ваш компьютер, — это DNS - серверы, управляемые вашим интернет-провайдером .(Internet Service Provider –)если вы не изменили их на что-то другое. При покупке подключения к Интернету используются DNS - серверы провайдера(ISP –) , признанного ICANN .

Вредоносное ПО на вашем компьютере изменяет DNS по умолчанию , которому доверяет ваш компьютер, чтобы он указывал на какой-то другой IP-адрес. Таким образом, когда ваш браузер пытается разрешить IP-адрес, ваш компьютер связывается с поддельным DNS -сервером, который дает вам неправильный IP-адрес. Это приводит к тому, что ваш браузер загружает вредоносный веб-сайт, который может поставить под угрозу ваш компьютер или украсть ваши учетные данные и т. д.

Перехват(DNS Hijacking) DNS и отравление кэша DNS(DNS Cache)

Хотя и то, и другое происходит на локальном уровне, их происхождение связано с поддельными DNS - серверами. В то время как перехват DNS включает вредоносное ПО(DNS hijacking involves malware) , отравление кэша DNS включает перезапись локального кэша DNS поддельными значениями(DNS Cache poisoning involves overwriting your local DNS cache with fake values) , которые перенаправляют ваш браузер на вредоносные веб-сайты. Отравление или спуфинг DNS-кэша(DNS Cache Poisoning or Spoofing) включает в себя такие методы, как бомбардировка поддельными IP-адресами, которые получает ваш компьютер, в то время как подлинные DNS - серверы все еще заняты разрешением URL -адреса . То есть за то время, которое требуется подлинным DNS -серверам для разрешения URL -адреса, киберпреступники отправляют множество ответов, которые приравнивают URL -адрес к поддельным IP-адресам.

Например, вы вводите в браузере thewindowsclub.com . К тому времени, когда настоящий DNS -сервер ищет адреса, ваш компьютер получает более одного решения о том, что сайт находится на IP(XYZ IP) - адресе XYZ. Это заставит ваш компьютер считать, что сайт находится по адресу XYZ , даже если подлинный DNS - сервер отправляет подлинный IP-адрес, потому что DNS - серверы киберпреступников отправили много ответов, содержащих поддельный IP-адрес для thewindowsclub.com .

Эта разница во времени эффективно используется киберпреступниками, у которых есть много фальшивых DNS -серверов, чтобы записать на вашем компьютере неправильные и вредоносные IP-адреса в кэш. Таким образом, одно из десяти поддельных разрешений DNS , отправленных (DNS)DNS- серверами киберпреступников , имеет приоритет над одним подлинным разрешением DNS , отправленным подлинными DNS - серверами. Другие методы отравления DNS-кэша(DNS Cache Poisoning) и предотвращения перечислены в приведенной выше ссылке.

Хотя отравление кэша(DNS Cache Poisoning) DNS и перехват DNS(DNS Hijacking) взаимозаменяемы, между ними есть небольшая разница. Метод отравления DNS-кэша(DNS Cache Poisoning) не включает в себя внедрение вредоносного ПО в вашу компьютерную систему, но основан на различных методах, таких как описанный выше, когда поддельные DNS -серверы отправляют разрешение URL -адресов быстрее, чем подлинный DNS -сервер, и, таким образом, кеш отравлен. После отравления кеша при использовании зараженного веб-сайта ваш компьютер подвергается риску. В случае перехвата DNS(DNS Hijacking) вы уже заражены. Вредоносная программа изменяет ваш DNS по умолчанию(DNS)поставщика услуг к тому, что хотят киберпреступники. И оттуда они контролируют разрешение ваших URL -адресов ( поиск DNS ), а затем продолжают отравлять ваш кеш DNS .

Как предотвратить перехват DNS

Мы уже обсуждали, как предотвратить отравление DNS(prevent DNS poisoning) . Чтобы остановить или предотвратить перехват DNS(DNS Hijacking) , рекомендуется использовать хорошее программное обеспечение для обеспечения безопасности(good security software) , которое защищает от вредоносных программ, таких как сменщики DNS . Использование хорошего брандмауэра(Firewall) . Хотя аппаратный брандмауэр лучше всего, если у вас его нет, вы можете хотя бы включить брандмауэр маршрутизатора.

Если вы считаете, что уже заражены, лучше удалить содержимое файла HOSTS(HOSTS file)  и сбросить файл Hosts(reset the Hosts File) . После этого используйте антивирусное ПО, которое поможет вам избавиться от DNS Changers .

Проверьте , изменил ли какой-либо DNS -чейнджер ваш (DNS)DNS . Если это так, вам следует изменить настройки DNS(change your DNS settings) . Вы можете проверить это автоматически. Кроме того, вы можете проверить DNS вручную. Начните с проверки DNS , указанного в маршрутизаторе(Router) , а затем на отдельных компьютерах в вашей сети. Я бы порекомендовал вам очистить кэш DNS Windows и изменить (flush your Windows DNS Cache)DNS маршрутизатора на какой-либо другой DNS , такой как Comodo DNS , Open DNS, Google Public DNS, Yandex Secure DNS, Angel DNS и т. д. Безопасный DNSв роутере лучше настроить каждый комп.

Есть инструменты, которые могут вас заинтересовать(There are tools that may interest you) : F-Secure Router Checker проверит перехват DNS , этот онлайн-инструмент проверяет перехват DNS , а инструмент безопасности WhiteHat отслеживает перехват DNS.

Теперь прочитайте(Now read) : Что такое захват домена и как восстановить захваченный домен.



About the author

Я инженер-конструктор со стажем работы более 10 лет. Я специализируюсь на USB-контроллерах и кабелях, а также на обновлении BIOS и поддержке ACPI. В свободное время я также люблю вести блог на различные темы, связанные с технологиями и инженерией.



Related posts