Отравление DNS-кэша и спуфинг — что это такое?

DNS означает систему доменных имен(Domain Name System) , и это помогает браузеру определить IP-адрес веб-сайта, чтобы он мог загрузить его на ваш компьютер. Кэш DNS(DNS cache) — это файл на вашем компьютере или компьютере вашего интернет- провайдера(ISP) , который содержит список IP-адресов регулярно используемых веб-сайтов. В этой статье объясняется, что такое отравление кэша DNS и спуфинг(DNS) DNS .(DNS)

Отравление кэша DNS

Каждый раз, когда пользователь вводит URL -адрес веб-сайта в своем браузере, браузер связывается с локальным файлом ( DNS-кэш(DNS Cache) ), чтобы узнать, есть ли запись для разрешения IP-адреса веб-сайта. Браузеру нужен IP-адрес веб-сайтов, чтобы он мог подключиться к веб-сайту. Он не может просто использовать URL -адрес для прямого подключения к веб-сайту. Он должен быть преобразован в правильный IP- адрес IPv4 или IPv6 . Если запись есть, веб-браузер будет использовать ее; иначе он пойдет на DNS -сервер, чтобы получить IP-адрес. Это называется поиском DNS(DNS lookup) .

Кэш DNS(DNS) создается на вашем компьютере или компьютере DNS -сервера вашего интернет- провайдера(ISP) , чтобы сократить время, затрачиваемое на запрос DNS URL -адреса. (URL)По сути(Basically) , кеши DNS — это небольшие файлы, содержащие IP-адреса различных веб-сайтов, которые часто используются на компьютере или в сети. Перед обращением к DNS -серверам компьютеры в сети связываются с локальным сервером, чтобы узнать, есть ли запись в кэше DNS . Если он есть, компьютеры будут его использовать; иначе сервер свяжется с DNS - сервером и получит IP-адрес. Затем он обновит локальный DNSкэш с последним IP-адресом веб-сайта.

Для каждой записи в кэше DNS установлено ограничение по времени, зависящее от операционных систем и точности разрешений DNS . По истечении периода компьютер или сервер, содержащий кэш DNS , свяжется с сервером DNS и обновит запись, чтобы информация была правильной.
Однако есть люди, которые могут отравить кеш DNS за преступную деятельность.

Отравление кеша(Poisoning the cache) означает изменение реальных значений URL(URLs) . Например, киберпреступники могут создать веб-сайт, который выглядит, скажем, как xyz.com , и ввести его DNS - запись в ваш DNS - кеш. Таким образом, когда вы набираете xyz.com(xyz.com) в адресной строке браузера, последний подхватывает IP-адрес поддельного сайта и перенаправляет вас туда, а не на настоящий сайт. Это называется фарминг(Pharming) . Используя этот метод, киберпреступники могут получить ваши учетные данные для входа и другую информацию, такую ​​как данные карты, номера социального страхования, номера телефонов и т. д., для кражи личных данных(identity theft) . DNSотравление также делается для внедрения вредоносных программ в ваш компьютер или сеть. Как только вы попадаете на поддельный веб-сайт, использующий зараженный кеш DNS , преступники могут делать все, что захотят.

Иногда вместо локального кеша преступники могут также настроить поддельные DNS - серверы, чтобы при запросе они могли выдавать поддельные IP-адреса. Это отравление DNS высокого уровня, которое повреждает большую часть кешей (DNS)DNS в определенной области, тем самым затрагивая гораздо больше пользователей.

Читайте о(Read about) : Comodo Secure DNS | OpenDNS | общедоступный DNS Google(Google Public DNS) | Яндекс Безопасный DNS(Yandex Secure DNS) | Ангел DNS.

Подмена кэша DNS

Отравление DNS-кэша и спуфинг

DNS spoofing is a type of attack that involves impersonation of DNS server responses in order to introduce false information. In a spoofing attack, a malicious user attempts to guess that a DNS client or server has sent a DNS query and is waiting for a DNS response. A successful spoofing attack will insert a fake DNS response into the DNS server’s cache, a process known as cache poisoning. A spoofed DNS server has no way of verifying that DNS data is authentic, and will reply from its cache using the fake information.

Спуфинг DNS-кэша(DNS Cache Spoofing) похож на отравление DNS-кэша(DNS Cache Poisoning) , но есть небольшая разница. Подмена кеша DNS(DNS Cache Spoofing) — это набор методов, используемых для отравления кеша DNS . Это может быть принудительный вход на сервер компьютерной сети для изменения кэша DNC и управления им. (DNC)Это может быть настройка поддельного DNS - сервера, чтобы при запросе отправлялись поддельные ответы. Есть много способов отравить кеш DNS , и один из распространенных способов — спуфинг кеша DNS(DNS Cache Spoofing) .

Прочтите(Read) . Как узнать, не были ли скомпрометированы настройки DNS вашего компьютера с помощью ipconfig.

Отравление кэша DNS — предотвращение

Существует не так много способов предотвратить отравление DNS-кэша . (DNS Cache)Лучший способ — масштабировать ваши системы безопасности,(scale up your security systems) чтобы ни один злоумышленник не смог скомпрометировать вашу сеть и манипулировать локальным кешем DNS . Используйте хороший брандмауэр(good firewall) , который может обнаруживать атаки с отравлением кэша DNS . Некоторые из вас могут рассмотреть возможность частой очистки кеша DNS .(Clearing the DNS cache)(Clearing the DNS cache)

Помимо масштабирования систем безопасности, администраторы должны обновлять свои микропрограммы и программное обеспечение(update their firmware and software) , чтобы поддерживать системы безопасности в актуальном состоянии. Операционные системы должны быть пропатчены последними обновлениями. Не должно быть сторонних исходящих ссылок. Сервер должен быть единственным интерфейсом между сетью и Интернетом(Internet) и должен быть защищен хорошим брандмауэром.

Доверительные отношения серверов(trust relations of servers) в сети должны быть подняты выше, чтобы они не запрашивали разрешения DNS у любого сервера . Таким образом, только серверы с подлинными сертификатами смогут взаимодействовать с сетевым сервером при разрешении DNS - серверов.

Период каждой записи в кэше DNS должен быть коротким, чтобы записи DNS извлекались(period) чаще и обновлялись. Это может означать более длительные периоды времени подключения к веб-сайтам (иногда), но снизит вероятность использования отравленного кеша.

Блокировка кэша DNS(DNS Cache Locking) должна быть настроена на 90% или выше в вашей системе Windows . Блокировка кэша в (Cache)Windows Server позволяет контролировать, может ли информация в кэше DNS быть перезаписана. См. TechNet для получения дополнительной информации об этом.

Используйте пул сокетов DNS(DNS Socket Pool) , так как он позволяет DNS -серверу использовать рандомизацию исходного порта при выдаче DNS - запросов. По словам TechNet(TechNet) , это обеспечивает повышенную защиту от атак с отравлением кеша .

Расширения безопасности системы доменных имен (DNSSEC)(Domain Name System Security Extensions (DNSSEC)) — это набор расширений для Windows Server , которые повышают безопасность протокола DNS . Подробнее об этом можно прочитать здесь(here) .

Есть два инструмента, которые могут вас заинтересовать(There are two tools that may interest you) : F-Secure Router Checker проверит перехват DNS, а WhiteHat Security Tool отслеживает перехват DNS.

Теперь прочитайте: (Now read:) Что такое перехват DNS(What is DNS Hijacking) ?

Наблюдения и комментарии приветствуются.(Observation and comments are welcome.)



Аркадий Степанов

About the author

Я веб-разработчик с опытом работы более 10 лет. Я специализируюсь на разработке Chrome OS и работал над широким спектром проектов от небольших стартапов до компаний из списка Fortune 500. Я также являюсь экспертом по учетным записям пользователей и семейной безопасности и разработал несколько успешных приложений для Android.


Related posts