GlobalSign Blog

A DNS cache poisoning, más néven DNS spoofing, egy olyan támadás, amelynek célja a DNS-ben, azaz a domain névrendszerben meglévő sebezhetőségek felkutatása, majd kihasználása annak érdekében, hogy a szerves forgalmat egy legitim szerverről egy hamis szerverre irányítsa.

A DNS-cache-mérgezés veszélye idén áprilisban került be a hírekbe, amikor a MyEtherWallet kripto-óriás DNS-kiszolgálóit eltérítették, és a legitim felhasználókat egy adathalász weboldalra irányították át.

A cache-mérgezés eredményeként több felhasználót is megtévesztettek, hogy feladják a tárca kulcsait, mielőtt kriptovalutáikat egy másik, a hackerekhez köthető digitális tárcába utalnák. Összességében a hackerek mintegy százhatvanezer dollár értékű Ethereumot loptak el, mielőtt a problémát azonosították és megállították.

Ez csak egy példa arra, hogy milyen veszélyes lehet a DNS-cache-mérgezés. A másik ok, amiért ez a fajta támadás veszélyes, hogy könnyen átterjedhet egyik DNS-kiszolgálóról a másikra.

Ezzel a cikkel foglalkozunk, hogy hogyan működik a DNS-cache-mérgezés, majd néhány olyan megoldást mutatunk be, amelyet alkalmazhat, ha valaha is megtörténne önnel.

Ahányszor a böngészője kapcsolatba lép egy domainnévvel, először a DNS-kiszolgálóval kell kapcsolatba lépnie.
A DNS-kiszolgálók (Domain Name Server) az internet telefonkönyvének megfelelői. Fenntartják a tartománynevek könyvtárát, és lefordítják azokat IP-címekre (Internet Protocol (IP) címekre).

Ez azért szükséges, mert bár a tartományneveket az emberek könnyen megjegyzik, a számítógépek vagy gépek IP-címek alapján érik el a webhelyeket.

A szerver ezután legalább egy IP-címmel (de általában többel) válaszol, hogy a számítógép elérje a tartománynevet. Miután a számítógép csatlakozik az IP-címhez, a DNS átalakítja a tartománynevet egy olyan IP-címmé, amelyet a számítógép olvasni tud.

Az internetszolgáltatója jelenleg több DNS-kiszolgálót futtat, amelyek mindegyike más kiszolgálókról is tárolja (vagy elmenti) az információkat. Az otthonában található Wi-Fi router lényegében szintén DNS-kiszolgálóként működik, mivel az internetszolgáltatója szervereinek információit gyorsítótárba helyezi.

A DNS gyorsítótár “mérgeződik”, amikor a kiszolgáló hibás bejegyzést kap. Hogy ezt szemléletessé tegyük, ez akkor fordulhat elő, ha egy hacker átveszi az irányítást a DNS-kiszolgáló felett, majd megváltoztatja az abban lévő információkat.

Módosíthatja például az információkat úgy, hogy a DNS-kiszolgáló azt mondja a felhasználóknak, hogy egy bizonyos webhelyet rossz címmel keressenek. Más szóval a felhasználó beírná a weboldal “helyes” nevét, de aztán rossz IP-címre, pontosabban egy adathalász weboldalra küldenék.

Már korábban említettük, hogy a DNS-cache mérgezés többek között azért veszélyes, mert milyen gyorsan terjed egyik DNS-kiszolgálóról a másikra. Ez akkor valósul meg, ha és amikor több internetszolgáltató is az immár hacker által ellenőrzött szerverről kapja a DNS-adatokat, aminek eredményeképpen a “mérgezett” DNS-bejegyzés eljut ezekhez az internetszolgáltatókhoz, hogy gyorsítótárba kerüljön.

Ezután átterjedhet más DNS-kiszolgálókra és otthoni routerekre, valamint a számítógépek is megnézik a DNS-bejegyzést, csakhogy rossz választ kapnak, aminek következtében egyre többen válnak a mérgezés áldozatává. Csak akkor oldódik meg a probléma, ha a mérgezett gyorsítótárat minden érintett DNS-kiszolgálón kiürítették.

Hogyan védekezhet a DNS-cache-mérgezés ellen

A DNS-cache-mérgezés egyik trükkös aspektusa, hogy rendkívül nehéz lesz megállapítani, hogy a kapott DNS-válaszok legitimek-e vagy sem. A My Ethereum Wallet esetében nagyon korlátozott eszközeik voltak a helyzet megelőzésére, és a problémát végül a szerverszolgáltatóik oldották meg.

Szerencsére még mindig számos olyan intézkedés van, amelyet a szervezeted megtehet, hogy megakadályozza, hogy egy ilyen támadás megtörténjen veled, így ne legyen az a benyomásod, hogy a DNS-cache-mérgezést lehetetlen vagy szinte lehetetlen megelőzni.

Az egyik dolog például, amit meg kell tennie, hogy egy informatikai szakemberrel úgy konfiguráltatja DNS-kiszolgálóit, hogy nagyon kevéssé támaszkodjanak más DNS-kiszolgálókkal való kapcsolatokra. Ez sokkal nehezebbé teszi egy kiberbűnöző számára, hogy DNS-kiszolgálójukat a célpontjaik megrongálására használja, ami azt jelenti, hogy az Ön saját DNS-kiszolgálója kisebb valószínűséggel lesz megrongálva, és így Önt (és a szervezetében mindenkit) kisebb valószínűséggel irányítanak át egy helytelen weboldalra.

Ezeken kívül DNS-kiszolgálóit úgy is beállíthatja, hogy csak olyan adatokat tároljanak, amelyek kifejezetten a kért tartományhoz kapcsolódnak, és a lekérdezési válaszokat úgy korlátozza, hogy csak a kért tartományra vonatkozó információkat is szolgáltassanak. Ennek lényege, hogy a kiszolgálót úgy állítsa be, hogy csak a szükséges szolgáltatásokat engedje futni. Azzal, hogy a DNS-kiszolgálón további, nem kötelezően futtatandó szolgáltatások is vannak, nagymértékben megnöveli a támadás esélyét.

Azt is meg kell győződnie arról, hogy a DNS legfrissebb verzióját használja. Ennek oka, hogy a legfrissebb verziók olyan biztonsági funkciókat használnak, mint például a portok randomizálása és a tranzakcióazonosítók, amelyek kriptográfiailag biztonságosak a mérgező támadások elleni védelem érdekében.

A DNS-cache mérgezés elleni másik fontos védelem, ahogy azt a MyEtherWallet a 2018 áprilisában történt támadást követő közleményében tanácsolta, hogy keresse a vállalat nevét a címsorban (tehát az ő esetükben a “MyEtherWallet Inc.”).
Ez azt jelenti, hogy a webhely EV SSL/TLS tanúsítványt használ. Ez segít megelőzni, hogy az emberek mérgező támadás áldozatává váljanak, mert így biztosak lehetnek abban, hogy nem adják meg személyes adataikat egy hacker weboldalán. Nem minden vállalat használ EV-t a webhelyein, így ez nem egy bolondbiztos intézkedés, de hasznos eszköz lehet, amikor megpróbálja megállapítani, hogy a megfelelő webhelyen van-e.

Az SSL/TLS tanúsítvány egyszerűen egy kis adatfájl, amelyet egy webszerverre telepítenek, és amely képes a szervezet adatait egy kriptográfiai kulcshoz kötni. Telepítése után a tanúsítvány aktiválja a HTTPS protokollt, hogy biztonságos és titkosított kapcsolatot tegyen lehetővé a böngésző és az Ön webkiszolgálója között. Az EV SSL/TLS tanúsítványok esetében a szervezet egyes adatai, beleértve a fent említett cégnevet is, közvetlenül a böngésző felhasználói felületén jelennek meg.

Következtetés

Összefoglalva, a DNS cache poisoning az, amikor egy támadó egy DNS-kiszolgálót kihasználva hamisított DNS-választ küld, amelyet a legitim szerverek gyorsítótárba helyeznek.

Ezután a sérült tartományt felkereső felhasználók egy új, a hacker által kiválasztott IP-címre kerülnek, amely általában egy rosszindulatú adathalász webhely, ahol az áldozatokat rosszindulatú programok letöltésére vagy bejelentkezési vagy pénzügyi adatok megadására lehet manipulálni.

A fenti lépések megtétele segít megvédeni szervezetét a DNS-cache-mérgezéses támadások ellen.

Megjegyzés: Ezt a blogcikket egy vendégszerző írta azzal a céllal, hogy szélesebb körű tartalmat kínáljunk olvasóinknak. Az ebben a vendégszerzői cikkben kifejtett vélemények kizárólag a szerző véleményét tükrözik, és nem feltétlenül a GlobalSign véleményét.

Szólj hozzá!