Intoxicação e falsificação de cache DNS

DNS significa Sistema de Nomes de Domínio, e isso ajuda o navegador a descobrir o endereço IP de um site para que ele possa ser carregado em seu computador. O cache DNS é um arquivo no seu computador ou no computador do seu provedor que contém uma lista de endereços IP de sites usados ​​regularmente. Este artigo explica o que é envenenamento de cache DNS e falsificação de DNS.

DNS Cache Poisoning

Toda vez que um usuário digita um URL de site em seu navegador, o navegador contata um arquivo local (DNS Cache) para ver se há qualquer entrada para resolver o endereço IP do site. O navegador precisa do endereço IP dos sites para poder se conectar ao site. Não pode simplesmente usar o URL para se conectar diretamente ao site. Tem que ser resolvido em um endereço IP IPv4 ou IPv6 adequado. Se o registro estiver lá, o navegador da Web o usará; senão ele irá para um servidor DNS para obter o endereço IP. Isso é chamado de pesquisa de DNS.

Um cache DNS é criado em seu computador ou no computador servidor DNS do seu provedor para que o tempo gasto na consulta do DNS de um URL seja reduzido. Basicamente, caches DNS são pequenos arquivos que contêm o endereço IP de diferentes sites que são freqüentemente usados ​​em um computador ou rede. Antes de entrar em contato com os servidores DNS, os computadores em uma rede devem entrar em contato com o servidor local para ver se há alguma entrada no cache do DNS. Se houver, os computadores irão usá-lo; caso contrário, o servidor entrará em contato com um servidor DNS e buscará o endereço IP. Em seguida, ele atualizará o cache DNS local com o endereço IP mais recente do site.

Cada entrada em um cache DNS tem um limite de tempo definido, dependendo dos sistemas operacionais e da precisão das resoluções DNS. Após o período expirar, o computador ou servidor contendo o cache DNS entrará em contato com o servidor DNS e atualizará a entrada para que as informações estejam corretas.

No entanto, há pessoas que podem envenenar o cache DNS para atividades criminosas.

Envenenar o cache significa alterar os valores reais das URLs. Por exemplo, os cibercriminosos podem criar um site que se pareça com xyz.com e digitar seu registro DNS no cache DNS. Assim, quando você digita xyz.com na barra de endereços do navegador, o último selecionará o endereço IP do site falso e levará você até lá, em vez do site real. Isso é chamado de pharming. Usando esse método, os cibercriminosos podem usar suas credenciais de login e outras informações, como detalhes do cartão, número da previdência social, números de telefone e mais, para roubo de identidade. O envenenamento de DNS também é feito para injetar malware em seu computador ou rede. Uma vez que você acessa um site falso usando um cache DNS envenenado, os criminosos podem fazer o que quiserem.

Às vezes, em vez do cache local, os criminosos também podem configurar servidores DNS falsos para que, quando consultados, eles façam falsas Endereços IP. Isso é envenenamento de DNS de alto nível e corrompe a maioria dos caches de DNS em uma área específica, afetando muitos mais usuários.

Leia sobre : Comodo Secure DNS | OpenDNS | DNS público do Google | Yandex Secure DNS | DNS DNS.

DNS Cache Spoofing

DNS spoofing é um tipo de ataque que envolve a representação de respostas do servidor DNS para introduzir informações falsas. Em um ataque de falsificação, um usuário mal-intencionado tenta adivinhar que um cliente ou servidor DNS enviou uma consulta DNS e está aguardando uma resposta DNS. Um ataque de falsificação bem-sucedido inserirá uma resposta falsa de DNS no cache do servidor DNS, um processo conhecido como envenenamento de cache. Um servidor DNS falsificado não tem como verificar se os dados DNS são autênticos e responderá a partir de seu cache usando as informações falsas.

O DNS Cache Spoofing soa semelhante ao DNS Cache Poisoning, mas há uma pequena diferença. DNS Cache Spoofing é um conjunto de métodos usados ​​para envenenar um cache DNS. Isso pode ser uma entrada forçada para o servidor de uma rede de computadores para modificar e manipular o cache do DNC. Isso pode estar configurando um servidor DNS falso para que respostas falsas sejam enviadas quando consultadas. Há muitas maneiras de envenenar um cache DNS e uma das maneiras comuns é a falsificação de cache DNS.

Leia : Como descobrir se as configurações de DNS do seu computador foram comprometidas usando o ipconfig.

Intoxicação do Cache DNS - Prevenção

Não há muitos métodos disponíveis para impedir o envenenamento do Cache do DNS. O melhor método é ampliar seus sistemas de segurança para que nenhum invasor possa comprometer sua rede e manipular o cache DNS local. Use um firewall bom que possa detectar ataques de envenenamento de cache DNS. Limpar o cache DNS frequentemente também é uma opção que alguns de vocês podem considerar.

Diferente de escalonar sistemas de segurança, administradores deve atualizar seu firmware e software para manter os sistemas de segurança atualizados. Os sistemas operacionais devem ser atualizados com as atualizações mais recentes. Não deve haver nenhum link de saída de terceiros. O servidor deve ser a única interface entre a rede e a Internet e deve estar protegido por um bom firewall.

As relações de confiança dos servidores na rede devem ser movidas para cima, para que não façam perguntas servidor para resoluções DNS. Dessa forma, somente os servidores com certificados genuínos poderão se comunicar com o servidor de rede enquanto resolvem os servidores DNS.

O períodode cada entrada no cache DNS deve ser curto para que os registros DNS sejam buscados mais freqüentemente e são atualizados. Isso pode significar períodos mais longos de conexão com sites (às vezes), mas reduzirá as chances de usar um cache envenenado.

Bloqueio de cache DNS deve ser configurado para 90% ou mais em seu sistema Windows. O bloqueio de cache no Windows Server permite controlar se as informações no cache DNS podem ou não ser substituídas. Consulte o TechNet para obter mais informações sobre isso

Use o Conjunto de Soquetes de DNS , pois ele permite que um servidor DNS use a aleatoriedade da porta de origem ao emitir consultas DNS. Isso oferece segurança aprimorada contra ataques de envenenamento de cache, diz TechNet.

As Extensões de Segurança do Sistema de Nomes de Domínio (DNSSEC) são um conjunto de extensões para o Windows Server que adicionam segurança ao protocolo DNS.Você pode ler mais sobre isso aqui.

Existem duas ferramentas que podem interessá-lo : O F-Secure Router Checker verificará o seqüestro de DNS, e o WhiteHat Security Tool monitora os seqüestros de DNS.

Agora leia: O que é o DNS Hijacking? > Observação e comentários são bem-vindos.