Vergiftiging DNS cache en spoofing

DNS staat voor Domain Name System, en dit helpt een browser in het uitzoeken van de IP-adres van een website, zodat deze op uw computer kunt laden. DNS cache is een bestand op de computer van uw of uw ISP dat een lijst met IP-adressen van regelmatig gebruikte websites bevat. In dit artikel wordt uitgelegd wat is DNS cache poisoning en DNS-spoofing.

Vergiftiging DNS cache

Iedere keer dat een gebruiker een website URL in zijn of haar browser, de browser contact met een lokaal bestand (DNS Cache) om te zien of er elke vermelding om het IP-adres van de website op te lossen. De browser heeft het IP-adres van websites nodig om verbinding te kunnen maken met de website. Het kan niet eenvoudigweg de URL gebruiken om rechtstreeks verbinding te maken met de website. Het moet worden omgezet in een juist IPv4- of IPv6-IP-adres. Als het record daar is, zal de webbrowser het gebruiken; anders gaat het naar een DNS-server om het IP-adres te krijgen. Dit wordt DNS-lookup genoemd.

Er wordt een DNS-cache op uw computer of de DNS-servercomputer van uw internetprovider gemaakt, zodat de hoeveelheid tijd die wordt besteed aan het opvragen van de DNS van een URL, wordt verkort. Kort gezegd, DNS-caches zijn kleine bestanden die het IP-adres bevatten van verschillende websites die vaak worden gebruikt op een computer of netwerk. Voordat u contact opneemt met DNS-servers, nemen computers in een netwerk contact op met de lokale server om te zien of er een vermelding in de DNS-cache is. Als er een is, zullen de computers het gebruiken; anders neemt de server contact op met een DNS-server en haalt hij het IP-adres op. Vervolgens wordt de lokale DNS-cache bijgewerkt met het nieuwste IP-adres voor de website.

Voor elk item in een DNS-cache is een tijdslimiet ingesteld, afhankelijk van het besturingssysteem en de nauwkeurigheid van DNS-resoluties. Nadat de periode is verstreken, neemt de computer of server die de DNS-cache bevat contact op met de DNS-server en werkt deze bij, zodat de informatie correct is.

Er zijn echter mensen die de DNS-cache kunnen vergiftigen voor criminele activiteiten.

Vergiftiging van de cache houdt in dat de werkelijke waarden van URl`s worden gewijzigd. Cybercriminelen kunnen bijvoorbeeld een website maken die er als volgt uit ziet, xyz.com en de DNS-record in uw DNS-cache invoeren. Dus wanneer u xyz.com in de adresbalk van de browser typt, zal deze laatste het IP-adres van de nep-website ophalen en u daarheen brengen, in plaats van de echte website. Dit wordt Pharming genoemd. Met deze methode kunnen cybercriminelen uw inloggegevens en andere informatie zoals kaartgegevens, burgerservicenummer, telefoonnummers en meer voor identiteitsdiefstal uitschrijven. De DNS-vergiftiging wordt ook gedaan om malware in uw computer of netwerk te injecteren. Zodra je op een nep-website met behulp van een vergiftigde DNS cache, kunnen de criminelen doen wat ze willen.

Soms, in plaats van de lokale cache, criminelen kunnen ook het opzetten van nep-DNS-servers, zodat wanneer bevraagd, kunnen ze geven nep IP-adressen. Dit is DNS-vergiftiging op hoog niveau en corrumpeert de meeste DNS-caches in een bepaald gebied en beïnvloedt daardoor veel meer gebruikers.

Lees over : Comodo Secure DNS | OpenDNS | Google Public DNS | Yandex Secure DNS | Angel DNS.

DNS Cache Spoofing

DNS-spoofing is een type aanval waarbij identiteit van DNS-serverresponsen wordt geïmiteerd om valse informatie te introduceren. Bij een spoofing-aanval probeert een kwaadwillende gebruiker te raden dat een DNS-client of server een DNS-query heeft verzonden en wacht op een DNS-reactie. Een succesvolle spoofing-aanval voegt een nep-DNS-reactie in de cache van de DNS-server, een proces dat cache-vergiftiging wordt genoemd. Een vervalste DNS-server kan niet verifiëren of DNS-gegevens authentiek zijn en zal antwoorden vanuit de cache met behulp van de valse informatie.

DNS-cache Spoofing klinkt vergelijkbaar met DNS Cache Poisoning, maar er is een klein verschil. DNS Cache Spoofing is een set methoden die wordt gebruikt om een ​​DNS-cache te vergiftigen. Dit kan een gedwongen toegang tot de server van een computernetwerk zijn om de DNC-cache te wijzigen en te manipuleren. Dit kan een valse DNS-server zijn, zodat nep-antwoorden worden verzonden wanneer er een vraag wordt gesteld. Er zijn veel manieren om een ​​DNS-cache te vergiftigen, en een van de meest voorkomende manieren is DNS Cache Spoofing.

Lees : hoe u kunt achterhalen of de DNS-instellingen van uw computer zijn aangetast door ipconfig.

DNS Cache Poisoning - Prevention

Er zijn niet veel methoden beschikbaar om vergiftiging door DNS Cache te voorkomen. De beste methode is om uw beveiligingssystemen op te schalen zodat geen enkele aanvaller uw netwerk kan beschadigen en de lokale DNS-cache kan manipuleren. Gebruik een goede firewall die DNS-cache-vergiftigingsaanvallen kan detecteren. Het wissen van de DNS-cache is vaak ook een optie die sommigen van u wellicht overwegen.

Behalve het opschalen van beveiligingssystemen, beheerders moet hun firmware en software bijwerken om de beveiligingssystemen actueel te houden. Besturingssystemen moeten worden gepatcht met de nieuwste updates. Er mag geen uitgaande link van een derde partij zijn. De server moet de enige interface tussen het netwerk en internet zijn en achter een goede firewall staan.

De vertrouwensrelaties van servers in het netwerk moeten hoger worden geplaatst, zodat ze niet zomaar elke vraag stellen server voor DNS-resoluties. Op die manier zouden alleen de servers met echte certificaten kunnen communiceren met de netwerkserver tijdens het oplossen van DNS-servers.

De periode van elk item in DNS-cache moet kort zijn, zodat DNS-records meer worden opgehaald vaak en worden bijgewerkt. Dit kan leiden tot langere perioden van verbinding met websites (soms), maar verkleint de kans op het gebruik van een vergiftigde cache.

DNS Cache Locking moet worden geconfigureerd tot 90% of meer op uw Windows-systeem. Met cacheblokkering in Windows Server kunt u bepalen of informatie in de DNS-cache kan worden overschreven. Zie TechNet voor meer informatie hierover.

Gebruik de DNS-socketpool , omdat hiermee een DNS-server kan worden gebruikt om willekeurige bronpoort te gebruiken bij het uitvoeren van DNS-query`s. Dit biedt verbeterde beveiliging tegen cache-vergiftigingsaanvallen, aldus TechNet.

Domain Name System Security Extensions (DNSSEC) is een reeks extensies voor Windows Server die beveiliging toevoegen aan het DNS-protocol. Hierover kunt u hier meer over lezen.

Er zijn twee hulpprogramma`s die u mogelijk interesseren : F-Secure Router Checker controleert op DNS-kaping en WhiteHat Security Tool controleert DNS-kapingen.

Nu lezen: Wat is DNS-kaping?

Observatie en opmerkingen zijn welkom.