Hvad er DNS-forgiftning?

DNS-forgiftning, også omtalt som DNS-spoofing, er en type netværkssikkerhedshacking, hvor domænenavnsystemets data er beskadiget. Forkerte data sættes i cachen til DNS-resolver, hvilket får DNS-serveren til at returnere dårlige poster. Dette resulterer i, at trafikken afbøjes fra den tilsigtede destination.


Et DNS-forgiftningsangreb udføres normalt via URL'er leveret via spam-e-mails. Disse e-mails vil narre brugerne til at klikke på den modtagne URL.

Sådan fungerer DNS

En DNS-server oversætter et domænenavn eller URL som google.com til en IP-adresse, som maskiner bruger til at oprette forbindelser.

For at øge serverens ydelse cache den oversættelsen typisk i en periode. Hvis der modtages en anmodning om en allerede gemt oversættelse, vil svaret blive givet uden at spørge en server.

Når en falsk oversættelse modtages og cache af DNS, bliver den forgiftet. Den sender derefter forkerte oplysninger til klienten.

DNS-cache

Internettet har ikke kun en DNS-server, da det ville være meget ineffektivt. Internetudbydere (ISP) kører deres helt egne DNS-servere, som cache-oplysninger fra andre betroede DNS-servere.

Din hjemme-router fungerer også som en DNS-server, der cache-oplysningerne fra din internetudbyder’s DNS-servere. Dit system har en lokal DNS-cache, så det hurtigt kan henvise til DNS-opslag, som det allerede har udført i stedet for at udføre en ny DNS-opslag hver gang.

Læs mere om, hvad der er en DNS-cache, og hvordan fungerer det

DNS-cache-forgiftning

Det er muligt for en DNS-cache at blive forgiftet, når den indeholder en forkert cacheindtastning. For eksempel når en angriber stjæler kontrollen af ​​en DNS-server og foretager ændringer i nogle af oplysningerne på den.

Lade’siger, at de får google.com til at pege på en anden IP-adresse ejet af angriberen. Denne DNS-server ville få sine brugere til at lede efter google.com på den forkerte adresse. Angriberen’s IP-adresse kan være til et ondsindet phishing-websted, der kan skade dit system.

Denne type DNS-forgiftning er også meget smitsom. For eksempel, hvis mange internetudbydere får de samme besmittede DNS-oplysninger fra denne kompromitterede server, kan den forgiftede DNS-post spredes fuldstændigt over disse internetudbydere og blive cache der.

Denne kompromitterede DNS-information spreder sig derefter til forskellige hjemm routere, og DNS-serveren cacheer dem derefter på computere, mens de prøver at finde DNS-posten. De vil modtage de forkerte svar og gemme dem på systemet.

Sådan fungerer DNS-forgiftning

DNS-cache-forgiftning udføres ved hjælp af koden, der normalt findes i URL'er, der sendes via spam-e-mails. Disse e-mails forsøger at sikre sig, at brugerne klikker på den modtagne URL, hvilket bestemt vil påvirke deres computere.

Billeder og bannerannoncer, der findes i spam-e-mails og upålidelige websteder, kan også bruges til at omdirigere brugere til denne kode. Når computeren er forgiftet, tager den brugere at falske websteder, forfalskede for at ligne den rigtige ting. Dette vil udsætte dem for forskellige risici som keyloggers, spyware eller orme.

DNS-cache-forgiftningsangreb

Normalt leverer internetudbydere eller brugerorganisationer DNS-servere til netværkscomputere. For at øge opløsningsreaktionen bruger kunstnerorganisationsnetværk DNS-servere til at fange tidligere indhentet information. Brugere, der bliver hostet af kompromitterede servere, påvirkes, når en enkelt DNS er forgiftet.

Inden et DNS-forgiftningsangreb kan udføres, skal der være et smuthul i DNS-applikationen. En server skal validere, at der opnås DNS-svar fra den autentiske kilde, fordi serveren kan cache dårlige poster lokalt og give dem til de brugere, der har fremsat den nøjagtige anmodning.

Et eksempel er, når en angriber parodierer en IP-adresseindgang for et bestemt websted og ændrer den til en ny IP-adresse, som de kontrollerer. Derfor opretter angriberen dokumenter på en server, de kontrollerer med lignende navne som den pågældende server.

De oprettede filer indeholder for det meste skadeligt indhold, f.eks. Computervirus eller orme. Enhver bruger, hvis system har brugt den kompromitterede DNS-server, kan blive narret til at acceptere det kompromitterede materiale, der kommer fra den ikke-ægte server og ved et uheld hente det skadelige indhold.

DNS-forgiftningsrisici

DNS-forgiftning medfører mange risici. Det er let at forfalde IP-adresser på bank- og detailwebsteder. Dette betyder, at følsomme oplysninger som kreditkortoplysninger, adgangskoder og så videre let kan stjæles. Hvis ISP-websteder er forfalskede, en bruger’s computer kan blive kompromitteret.

Endelig er det vanskeligt at fjerne DNS-cache-forgiftning, da ren rengøring af den inficerede server ikke fjerner problemet, og rene systemer, der forbinder til en kompromitteret server, vil helt sikkert blive kompromitteret igen. At skylle din DNS-cache kan løse dette problem.

Forebyggelse af DNS-forgiftning

For det første er det nødvendigt at konfigurere DNS-servere til at forhindre DNS-forgiftning af DNS-servere til at afhænge af betroede forhold til andre DNS-servere så lidt som muligt. At reducere tillidsforhold mellem servere gør det meget svært for angribere at bruge deres egne DNS-servere til at forgifte målrettede servere.

Bortset fra at begrænse tillidsforhold mellem DNS-servere, skal it-personale sikre, at den seneste DNS-version bruges. DNS’ der bruger BIND version 9.5.0 eller nyere inkluderer funktioner som kryptografisk krypterede transaktions-ID'er og havnevaluering.

Kryptografisk-krypterede transaktions-ID'er og port randomisering hjælper med at forhindre angreb på DNS-forgiftning. For yderligere at forhindre angreb på DNS-forgiftning skal IT-personale konfigurere deres DNS-servere til at begrænse rekursive forespørgsler og kun gemme data, der er knyttet til det anmodede domæne.

De bør også begrænse forespørgselssvar for kun at give oplysninger om det ønskede domæne. DNS-serveren skal vedligeholdes for at sikre, at tjenester, der ikke er nødvendige, fjernes. For yderligere at forhindre DNS-forgiftning kan IT-personale implementere DNSSEC-teknikken på DNS-serveren.

DNSSEC

DNSSEC blev oprettet til cache-opløsere, der betjener applikationerne, og til at beskytte applikationer mod at bruge manipulerede eller forfalskede DNS-data, ligesom dem, der er oprettet med DNS-cache-forgiftning. Alle svar fra DNSSEC-beskyttede zoner underskrives digitalt.

Ved at se på den digitale signatur vil en DNS-resolver være i stand til at se, om de givne oplysninger er identiske - det er umodificerede og komplette - til de oplysninger, der leveres af zeejeren og distribueres på en autoritativ DNS-server. IP-adressebeskyttelse er den største bekymring for mange brugere.

DNSSEC kan beskytte alle data, der er offentliggjort på DNS-serveren, inklusive tekstposterne (TXT) og postudvekslingsposterne (MX). DNSSEC kan bruges til at kombinere andre sikkerhedssystemer, der giver feedback om kryptografiske certifikater, der opbevares i DNS, som certifikatposter, IPSec offentlige nøgler, SSH fingeraftryk og TLS Trust Anchors.

DNSSEC leverer ikke datafortrolighed. For at være præcis er ikke alle DNSSEC-svar krypteret, men de er autentiseret. DNSSEC gør det ikke’t beskytter direkte mod DoS-angreb, skønt det giver nogle indirekte fordele.

DNS-opslagsprocedure for DNSSEC

Fra et DNS-opslagresultat kan en sikkerhedsbevidst DNS-resolver diktere, om den autoriserede navneserver for det domæne understøtter DNSSEC, om svaret er sikkert, og om der er nogen form for fejl. Opslagsproceduren varierer for rekursive navneservere som ISP-navneservere og for stubopløsere som dem, der er integreret som standard i mainstream-operativsystemer (som Windows-stubopløseren). Microsoft Windows bruger en stub-resolver, og Windows 7 bruger en ikke-validerende - men DNSSEC-opmærksom - stub-resolver især.

Kryptografisk, for at vide, om et domæne mangler, er der behov for at markere svaret på hver forespørgsel fra et ikke-eksisterende domæne. Selvom dette ikke er et problem for onlinesigneringsservere, for hvilke nøgler der er tilgængelige online.

Derudover blev DNSSEC oprettet til at bruge offline computere til at underskrive poster, så nøglesignalens nøgler kan gemmes i kølerum. Dette kan skabe et problem, når du prøver at autentificere svar.

For at forespørge ikke-eksisterende domæner er det ikke muligt at generere et svar for hver mulig hostnavnforespørgsel. Den første løsning på dette problem var at designe NSEC-poster for alle par domæner i en bestemt zone.

Derfor, hvis en klient anmoder om en post, der ikke findes, såsom k.example.com, vil serveren svare med en NSEC-post, der siger, at der ikke findes noget blandt a.example.com og z.example.com. Imidlertid lækker denne teknik mere information om denne zone end de traditionelle, ikke-godkendte NXDOMAIN-fejl, da den viser ægte domæneeksistens.

Forebyggelse og afbødning af DNS-forgiftning

Mange DNS-forgiftningsangreb kan let forhindres ved at mindske tilliden til de oplysninger, der modtages fra eksterne DNS-servere.

En anden taktik er at ignorere modtagne DNS-poster, der ikke er meget relevante for forespørgslen. DNS-forgiftningsangreb kan også reduceres på applikationslaget eller transportlaget, når punkt-til-punkt-validering udføres på systemerne, når forbindelsen er etableret. Et typisk eksempel på denne type procedure er brugen af ​​digitale signaturer og Transport Layer Security (TLS).

Brug af den sikrede HTTP-version, der er HTTP'er, kan for eksempel kontrollere, om serverens digitale certifikat er gyldigt, og at det hører til webstedet’s formodede ejer.

Ligeledes inspicerer fjernindlogningsprogrammet, der er kendt som sikker shell (SSH), ved endepunkterne de digitale certifikater, før det fortsætter med staveformularen.

For software, der automatisk downloader opdateringer, kan softwaren lokalt omfatte en duplikat af det underskrevne certifikat og autentificere signaturen, der er gemt i applikationsopdateringen, med den fra det integrerede certifikat.

Bundlinie

Da vi alle går digital, udgør DNS-forgiftning en meget stor trussel mod vores information og daglige aktiviteter. DNS-forgiftning har givet angribere muligheden for at kompromittere systemer uden at have fysisk adgang til dette system.

Forebyggelse af DNS-forgiftning og cacheforgiftning er meget vigtigt, derfor er administratorer nødt til at implementere en mindre tillidsfuld tilgang over for andre servere.

De er også nødt til at implementere teknikker som DNSSEC eller opdatere deres servere til de nyeste versioner, med funktioner som kryptografisk krypterede transaktions-ID'er og port randomisering.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me