GlobalSign Blog

Znany również jako DNS spoofing, DNS cache poisoning jest atakiem mającym na celu zlokalizowanie, a następnie wykorzystanie luk istniejących w DNS, czyli systemie nazw domen, w celu odciągnięcia ruchu organicznego od legalnego serwera i przekierowania go na fałszywy.

Zagrożenie związane z zatruwaniem pamięci podręcznej DNS pojawiło się w wiadomościach na początku tego roku w kwietniu, gdy serwery DNS kryptowalutowego giganta MyEtherWallet zostały porwane i przekierowały legalnych użytkowników na stronę phishingową.

W wyniku zatruwania pamięci podręcznej wielu użytkowników zostało oszukanych, aby oddać swoje klucze do portfela przed przeniesieniem swoich kryptowalut do innego cyfrowego portfela powiązanego z hakerami. W sumie hakerzy ukradli Ethereum o wartości około stu sześćdziesięciu tysięcy dolarów, zanim problem został zidentyfikowany i zatrzymany.

Jest to tylko jeden przykład, który ilustruje, jak niebezpieczne może być zatruwanie pamięci podręcznej DNS. Innym powodem, dla którego ten rodzaj ataku jest niebezpieczny, jest fakt, że może on łatwo rozprzestrzeniać się z jednego serwera DNS na następny.

W tym artykule zajmiemy się tematem tego, jak działa zatruwanie pamięci podręcznej DNS, a następnie kilkoma rozwiązaniami, które możesz zastosować, aby je powstrzymać, gdyby kiedykolwiek Ci się to przydarzyło.

Za każdym razem, gdy Twoja przeglądarka kontaktuje się z nazwą domeny, musi najpierw skontaktować się z serwerem DNS.
Serwery nazw domen (DNS) są internetowym odpowiednikiem książki telefonicznej. Utrzymują one katalog nazw domen i tłumaczą je na adresy IP (Internet Protocol).

Jest to konieczne, ponieważ chociaż nazwy domen są łatwe do zapamiętania dla ludzi, komputery lub maszyny uzyskują dostęp do stron internetowych na podstawie adresów IP.

Serwer odpowie wtedy co najmniej jednym adresem IP (ale zazwyczaj większą ich liczbą), aby Twój komputer mógł dotrzeć do nazwy domeny. Gdy komputer łączy się z adresem IP, DNS konwertuje nazwę domeny na adres IP, który komputer może odczytać.

W tej chwili, Twój dostawca usług internetowych działa wiele serwerów DNS, z których każdy buforuje (lub zapisuje) informacje z innych serwerów, jak również. Router Wi-Fi masz w domu zasadniczo działa jak serwer DNS, jak również, ponieważ buforuje informacje z serwerów dostawcy usług internetowych.

Pamięć podręczna DNS jest „zatruty”, gdy serwer otrzymuje nieprawidłowy wpis. Aby umieścić to w perspektywie, może się zdarzyć, gdy haker zyskuje kontrolę nad serwerem DNS, a następnie zmienia informacje w nim.

Na przykład, mogą one zmodyfikować informacje tak, że serwer DNS powie użytkownikom szukać określonej strony internetowej z niewłaściwym adresem. Innymi słowy, użytkownik wpisuje „poprawną” nazwę strony, ale zostaje odesłany pod niewłaściwy adres IP, a konkretnie na stronę phishingową.

Wcześniej wspomnieliśmy, że jednym z powodów, dla których zatruwanie pamięci podręcznej DNS jest niebezpieczne, jest szybkość, z jaką może się ono rozprzestrzeniać z jednego serwera DNS na drugi. Jest to osiągnięte, jeśli i kiedy wielu dostawców usług internetowych otrzymują swoje informacje DNS z serwera kontrolowanego przez hakerów, co powoduje, że „zatruty” wpis DNS rozprzestrzenia się do tych dostawców usług internetowych, aby być cached.

Od tego momentu, może rozprzestrzeniać się na innych serwerach DNS i routerów domowych, jak również komputery będą szukać wpisu DNS tylko do otrzymania złej odpowiedzi, w wyniku czego coraz więcej ludzi staje się ofiarą zatrucia. Only once the poisoned cache has been cleared on every affected DNS server will the issue be solved.

How To Protect Against DNS Cache Poisoning

One of the tricky aspects of DNS cache poisoning is that it will be extremely difficult to determine whether the DNS responses you receive are legitimate or not. W przypadku My Ethereum Wallet, mieli oni bardzo ograniczone środki, aby zapobiec zaistniałej sytuacji, a problem został ostatecznie rozwiązany przez ich dostawców serwerów.

Na szczęście, nadal istnieje wiele środków, które Twoja organizacja może podjąć, aby zapobiec takiemu atakowi, więc nie powinieneś mieć wrażenia, że zatrucie pamięci podręcznej DNS jest niemożliwe lub prawie niemożliwe do zapobieżenia.

Na przykład, jedną z rzeczy, którą powinieneś zrobić jest skonfigurowanie serwerów DNS przez specjalistę IT tak, aby w bardzo małym stopniu polegały na relacjach z innymi serwerami DNS. To znacznie utrudnia cyberprzestępcom wykorzystanie ich serwera DNS do skorumpowania ich celów, co oznacza, że Twój własny serwer DNS jest mniej prawdopodobne, aby zostać skorumpowany, a zatem Ty (i wszyscy w Twojej organizacji) są mniej prawdopodobne, aby zostać przekierowanym na nieprawidłową stronę internetową.

Możesz ponadto mieć swoje serwery DNS skonfigurowane do przechowywania tylko danych, które są związane konkretnie z żądaną domeną i ograniczyć odpowiedzi na zapytania, aby zapewnić tylko informacje, które dotyczą żądanej domeny, jak również. Chodzi o to, że serwer będzie skonfigurowany tak, że wymagane usługi są jedynymi dozwolonymi do uruchomienia. Posiadając dodatkowe usługi, które nie są wymagane do uruchomienia na serwerze DNS, znacznie zwiększasz prawdopodobieństwo ataku.

Powinieneś również upewnić się, że używana jest najnowsza wersja DNS. Dzieje się tak dlatego, że najnowsze wersje będą używać zabezpieczeń, takich jak randomizacja portów i identyfikatory transakcji, które są kryptograficznie bezpieczne, aby pomóc chronić przed atakami poisoning.

Inną ważną obroną przed DNS cache poisoning, jak doradziła MyEtherWallet w ogłoszeniu po ataku, który miał miejsce w kwietniu 2018 r., jest szukanie nazwy firmy w pasku adresu (więc w ich przypadku „MyEtherWallet Inc”).
To oznacza, że witryna używa certyfikatu EV SSL/TLS. Dzięki temu ludzie nie padną ofiarą ataku typu poisoning, ponieważ będą pewni, że nie wprowadzą swoich danych osobowych na stronę hakera. Nie wszystkie firmy używają EV na swoich stronach internetowych, więc nie jest to niezawodny środek, ale może być pomocne narzędzie, gdy próbujesz określić, czy jesteś na właściwej stronie.

Certyfikat SSL/TLS to po prostu mały plik danych zainstalowany na serwerze internetowym, który może powiązać dane organizacji z kluczem kryptograficznym. Po jego zainstalowaniu certyfikat aktywuje protokół HTTPS, umożliwiając bezpieczne i szyfrowane połączenie między przeglądarką a Twoim serwerem internetowym. W przypadku certyfikatów EV SSL/TLS, niektóre z tych szczegółów organizacji, w tym wspomniana wyżej nazwa firmy, będą prezentowane bezpośrednio w interfejsie użytkownika przeglądarki.

Podsumowanie

Podsumowując, zatruwanie pamięci podręcznej DNS polega na wykorzystaniu przez atakującego serwera DNS do wysłania sfałszowanej odpowiedzi DNS, która zostanie zbuforowana przez legalne serwery.

W konsekwencji, użytkownicy, którzy odwiedzą uszkodzoną domenę, zostaną wysłani na nowy adres IP wybrany przez hakera, który zazwyczaj jest złośliwą stroną phishingową, na której ofiary mogą zostać zmanipulowane do pobrania złośliwego oprogramowania lub przesłania danych logowania lub danych finansowych.

Podjęcie powyższych kroków pomoże obronić Twoją organizację przed atakami zatruwania pamięci podręcznej DNS.

Uwaga: Ten artykuł na blogu został napisany przez gościnnego współpracownika w celu zaoferowania szerszego zakresu treści dla naszych czytelników. Opinie wyrażone w tym artykule są wyłącznie opiniami autora i nie muszą odzwierciedlać opinii GlobalSign.

.

Dodaj komentarz