Otrava a falšovanie vyrovnávacej pamäte DNS – čo to je?

DNS je skratka pre Domain Name System a pomáha prehliadaču pri zisťovaní IP adresy webovej stránky, aby ju mohol načítať do vášho počítača. DNS cache je súbor vo vašom počítači alebo počítači vášho poskytovateľa internetových služieb(ISP) , ktorý obsahuje zoznam IP adries pravidelne používaných webových stránok. Tento článok vysvetľuje, čo je otrava vyrovnávacej pamäte DNS a spoofing(DNS) DNS .(DNS)

Otrava vyrovnávacej pamäte DNS

Zakaždým, keď používateľ zadá adresu URL(URL) webovej stránky do svojho prehliadača, prehliadač kontaktuje lokálny súbor ( vyrovnávacia pamäť DNS(DNS Cache) ), aby zistil, či existuje záznam na rozlíšenie adresy IP webovej stránky. Prehliadač potrebuje IP adresu webových stránok, aby sa mohol pripojiť k webovej stránke. Nemôže jednoducho použiť adresu URL(URL) na priame pripojenie k webovej lokalite. Musí byť prevedená na správnu IPv4 alebo IPv6 IP adresu. Ak záznam existuje, webový prehliadač ho použije; v opačnom prípade prejde na server DNS , aby získal IP adresu. Toto sa nazýva vyhľadávanie DNS(DNS lookup) .

Vo vašom počítači alebo na počítači servera DNS vášho poskytovateľa internetových služieb sa vytvorí vyrovnávacia pamäť DNS , (DNS)aby (ISP)sa(DNS) skrátil čas strávený dopytovaním DNS adresy URL . DNS cache sú v (DNS)podstate(Basically) malé súbory , ktoré obsahujú IP adresy rôznych webových stránok, ktoré sa často používajú v počítači alebo sieti. Pred kontaktovaním serverov DNS počítače v sieti kontaktujú lokálny server, aby zistili, či sa vo vyrovnávacej pamäti DNS nachádza záznam . Ak existuje, použijú ho počítače; v opačnom prípade sa server spojí so serverom DNS a získa IP adresu. Potom aktualizuje lokálny DNSvyrovnávacej pamäte s najnovšou IP adresou webovej stránky.

Každý záznam vo vyrovnávacej pamäti DNS má nastavený časový limit v závislosti od operačných systémov a presnosti rozlíšenia DNS . Po uplynutí doby sa počítač alebo server obsahujúci vyrovnávaciu pamäť DNS spojí so serverom DNS a aktualizuje záznam tak, aby boli informácie správne.
Existujú však ľudia, ktorí môžu otráviť vyrovnávaciu pamäť DNS pre trestnú činnosť.

Otrávenie vyrovnávacej pamäte(Poisoning the cache) znamená zmenu skutočných hodnôt adries URL(URLs) . Kyberzločinci môžu napríklad vytvoriť webovú stránku, ktorá vyzerá napríklad xyz.com , a zadať jej DNS záznam do vašej vyrovnávacej pamäte DNS . Keď teda do panela s adresou prehliadača napíšete xyz.com , prehliadač si vyberie IP adresu falošnej webovej stránky a prenesie vás tam namiesto skutočnej webovej stránky. (xyz.com)Toto sa nazýva Pharming . Pomocou tejto metódy môžu počítačoví zločinci neoprávnene získať vaše prihlasovacie údaje a ďalšie informácie, ako sú údaje o karte, čísla sociálneho poistenia, telefónne čísla a ďalšie, aby mohli odcudziť identitu(identity theft) . DNSotrava sa vykonáva aj na vstreknutie škodlivého softvéru do vášho počítača alebo siete. Keď sa dostanete na falošnú webovú stránku pomocou otrávenej vyrovnávacej pamäte DNS , zločinci môžu robiť, čo chcú.

Niekedy namiesto lokálnej vyrovnávacej pamäte môžu zločinci nastaviť falošné servery DNS , aby pri dotaze mohli poskytnúť falošné adresy IP. Ide o otravu DNS na vysokej úrovni a poškodzuje väčšinu vyrovnávacích pamätí DNS v konkrétnej oblasti, čím ovplyvňuje oveľa viac používateľov.

Prečítajte si o(Read about) : Comodo Secure DNS | OpenDNS | Google Public DNS | Yandex Secure DNS | Angel DNS.

Spoofing DNS cache

Poisoning a spoofing DNS cache

DNS spoofing is a type of attack that involves impersonation of DNS server responses in order to introduce false information. In a spoofing attack, a malicious user attempts to guess that a DNS client or server has sent a DNS query and is waiting for a DNS response. A successful spoofing attack will insert a fake DNS response into the DNS server’s cache, a process known as cache poisoning. A spoofed DNS server has no way of verifying that DNS data is authentic, and will reply from its cache using the fake information.

DNS Cache Spoofing znie podobne ako DNS Cache Poisoning , ale je tu malý rozdiel. DNS Cache Spoofing je súbor metód používaných na otravu DNS cache. Môže ísť o vynútený vstup na server počítačovej siete na úpravu a manipuláciu s vyrovnávacou pamäťou DNC . Môže to byť nastavenie falošného servera DNS , aby sa pri dotaze odosielali falošné odpovede. Existuje mnoho spôsobov, ako otráviť vyrovnávaciu pamäť DNS a jedným z bežných spôsobov je spoofing medzipamäte DNS(DNS Cache Spoofing) .

Prečítajte si(Read) : Ako zistiť, či boli nastavenia DNS vášho počítača napadnuté pomocou ipconfig.

Otrava DNS cache – prevencia

Nie je k dispozícii veľa spôsobov, ako zabrániť otrave DNS cache . Najlepšou metódou je škálovať vaše bezpečnostné systémy(scale up your security systems) tak, aby žiadny útočník nemohol ohroziť vašu sieť a manipulovať s lokálnou vyrovnávacou pamäťou DNS . Používajte dobrý firewall(good firewall) , ktorý dokáže odhaliť útoky na otravu vyrovnávacej pamäte DNS . Časté vymazávanie vyrovnávacej pamäte DNS(Clearing the DNS cache)(Clearing the DNS cache) je tiež možnosťou, ktorú niektorí z vás môžu zvážiť.

Okrem rozširovania bezpečnostných systémov by správcovia mali aktualizovať svoj firmvér a softvér(update their firmware and software) , aby boli bezpečnostné systémy aktuálne. Operačné systémy by mali byť opravené najnovšími aktualizáciami. Nemal by existovať žiadny odchádzajúci odkaz tretej strany. Server by mal byť jediným rozhraním medzi sieťou a internetom(Internet) a mal by byť za dobrým firewallom.

Dôveryhodné vzťahy serverov(trust relations of servers) v sieti by sa mali posunúť vyššie, aby nepožiadali o preklad DNS(DNS) hocijaký server . Takto budú môcť komunikovať so sieťovým serverom pri riešení DNS serverov iba servery s originálnymi certifikátmi.

Obdobie každého záznamu vo vyrovnávacej pamäti DNS by malo byť krátke, aby sa záznamy DNS získavali(period) častejšie a aktualizovali. To môže znamenať dlhšie časové obdobia pripojenia k webovým stránkam (niekedy), ale zníži sa tým pravdepodobnosť použitia otrávenej vyrovnávacej pamäte.

Uzamykanie vyrovnávacej pamäte DNS by malo byť vo vašom (DNS Cache Locking)systéme Windows(Windows) nakonfigurované na 90 % alebo viac . Uzamykanie vyrovnávacej pamäte v (Cache)systéme Windows Server(Windows Server) vám umožňuje kontrolovať, či je možné prepísať informácie vo vyrovnávacej pamäti DNS . Viac o tom nájdete na TechNet .

Použite oblasť soketov DNS(DNS Socket Pool) , pretože umožňuje serveru DNS používať randomizáciu zdrojových portov pri zadávaní dotazov DNS . To poskytuje vylepšené zabezpečenie proti útokom otrávením vyrovnávacej pamäte, hovorí TechNet .

Domain Name System Security Extensions (DNSSEC) je súprava rozšírení pre Windows Server , ktoré zvyšujú bezpečnosť protokolu DNS . Viac si o tom môžete prečítať tu(here) .

Existujú dva nástroje, ktoré by vás mohli zaujímať(There are two tools that may interest you) : F-Secure Router Checker skontroluje únosy DNS a WhiteHat Security Tool monitoruje únosy DNS.

Teraz si prečítajte: (Now read:) Čo je to DNS Hijacking(What is DNS Hijacking) ?

Postrehy a pripomienky sú vítané.(Observation and comments are welcome.)



Albert Golonka

About the author

Som profesionálny audio inžinier s viac ako 10-ročnými skúsenosťami. V hudobnom priemysle pracujem už niekoľko rokov a v tejto oblasti som si vybudoval silnú reputáciu. Som tiež veľmi skúsený používateľský účet a operátor pre bezpečnosť rodiny. Medzi moje povinnosti patrí správa používateľských účtov, poskytovanie podpory zákazníkom a poskytovanie poradenstva v oblasti bezpečnosti rodiny zamestnancom.


Related posts