DNS significa Sistema de Nomes de Domínio, e isso ajuda o navegador a descobrir o endereço IP de um site para que ele possa ser carregado em seu computador. Cache de DNS é um arquivo no seu computador ou no computador do seu provedor que contém uma lista de endereços IP de sites usados regularmente. Este artigo explica o que é o envenenamento de cache DNS e a falsificação de DNS.
Envenenamento de Cache DNS
Toda vez que um usuário digita um URL de site em seu navegador, o navegador entra em contato com um arquivo local (Cache DNS) para ver se há alguma entrada para resolver o endereço IP do site. O navegador precisa do endereço IP dos sites para poder se conectar ao site. Não pode simplesmente usar o URL para se conectar diretamente ao site. Tem que ser resolvido em um endereço IP IPv4 ou IPv6 apropriado. Se o registro estiver lá, o navegador da Web o usará; senão ele irá para um servidor DNS para obter o endereço IP. Isso é chamado de pesquisa de DNS.
Um cache DNS é criado em seu computador ou no computador servidor DNS do seu provedor para que o tempo gasto na consulta do DNS de um URL seja reduzido. Basicamente, caches DNS são pequenos arquivos que contêm o endereço IP de diferentes sites que são freqüentemente usados em um computador ou rede. Antes de entrar em contato com os servidores DNS, os computadores em uma rede devem entrar em contato com o servidor local para ver se há alguma entrada no cache do DNS. Se houver, os computadores irão usá-lo; caso contrário, o servidor entrará em contato com um servidor DNS e buscará o endereço IP. Em seguida, ele atualizará o cache DNS local com o endereço IP mais recente do site.
Cada entrada em um cache DNS tem um limite de tempo definido, dependendo dos sistemas operacionais e da precisão das resoluções DNS. Após o período expirar, o computador ou servidor que contém o cache DNS entrará em contato com o servidor DNS e atualizará a entrada para que as informações estejam corretas. No entanto, existem pessoas que podem envenenar o cache DNS para atividades criminosas.
Envenenando o cache significa mudar os valores reais dos URLs. Por exemplo, os criminosos cibernéticos podem criar um website com a aparência de: xyz.com e insira seu registro DNS em seu cache DNS. Assim, quando você digita xyz.com na barra de endereços do navegador, o último pegará o endereço IP do site falso e levará você até lá, em vez do site real. Isso é chamado de pharming. Usando esse método, os cibercriminosos podem usar suas credenciais de login e outras informações, como detalhes do cartão, número da previdência social, números de telefone e mais, para roubo de identidade. O envenenamento de DNS também é feito para injetar malware em seu computador ou rede. Quando você acessa um site falso usando um cache de DNS envenenado, os criminosos podem fazer o que quiserem.
Às vezes, em vez do cache local, os criminosos também podem configurar servidores DNS falsos para que, quando consultados, possam fornecer endereços IP falsos. Isso é envenenamento de DNS de alto nível e corrompe a maioria dos caches de DNS em uma área específica, afetando muitos usuários.
Ler sobre: Comodo Secure DNS | OpenDNS | DNS público do Google | Yandex Secure DNS | Angel DNS.
Spoofing de cache DNS
DNS spoofing is a type of attack that involves impersonation of DNS server responses in order to introduce false information. In a spoofing attack, a malicious user attempts to guess that a DNS client or server has sent a DNS query and is waiting for a DNS response. A successful spoofing attack will insert a fake DNS response into the DNS server’s cache, a process known as cache poisoning. A spoofed DNS server has no way of verifying that DNS data is authentic, and will reply from its cache using the fake information.
O DNS Cache Spoofing soa semelhante ao DNS Cache Poisoning, mas há uma pequena diferença. DNS Cache Spoofing é um conjunto de métodos usados para envenenar um cache DNS. Isso pode ser uma entrada forçada para o servidor de uma rede de computadores para modificar e manipular o cache do DNC. Isso pode estar configurando um servidor DNS falso para que respostas falsas sejam enviadas quando consultadas. Há muitas maneiras de envenenar um cache DNS, e uma das maneiras comuns é a falsificação de cache DNS.
Ler: Como descobrir se as configurações de DNS do seu computador foram comprometidas usando o ipconfig.
Envenenamento de Cache DNS - Prevenção
Não há muitos métodos disponíveis para impedir o envenenamento do Cache DNS. O melhor método é ampliar seus sistemas de segurança para que nenhum invasor possa comprometer sua rede e manipular o cache DNS local. Use um bom firewall que pode detectar ataques de envenenamento de cache DNS. Limpar o cache do DNS freqüentemente também é uma opção que alguns de vocês podem considerar.
Além de aumentar os sistemas de segurança, os administradores devem atualizar seu firmware e software manter os sistemas de segurança atualizados. Os sistemas operacionais devem ser atualizados com as atualizações mais recentes. Não deve haver nenhum link de saída de terceiros. O servidor deve ser a única interface entre a rede e a Internet e deve estar por trás de um bom firewall.
o relações de confiança de servidores na rede deve ser movido para cima, para que eles não perguntem a nenhum servidor sobre as resoluções do DNS. Dessa forma, somente os servidores com certificados genuínos poderão se comunicar com o servidor de rede enquanto resolvem os servidores DNS.
o período Cada entrada no cache DNS deve ser curta para que os registros DNS sejam buscados com mais freqüência e atualizados. Isso pode significar períodos mais longos de conexão com sites (às vezes), mas reduzirá as chances de usar um cache envenenado.
Bloqueio de cache DNS deve ser configurado para 90% ou mais no seu sistema Windows. O bloqueio de cache no Windows Server permite controlar se as informações no cache DNS podem ou não ser substituídas. Veja o TechNet para mais sobre isso.
Use o Pool de soquete de DNS como ele permite que um servidor DNS use a randomização da porta de origem ao emitir consultas DNS. Isso fornece segurança aprimorada contra ataques de envenenamento de cache, diz o TechNet.
Extensões de Segurança do Sistema de Nomes de Domínio (DNSSEC) é um conjunto de extensões para o Windows Server que adiciona segurança ao protocolo DNS.Você pode ler mais sobre isso aqui.
Existem duas ferramentas que podem lhe interessar: O F-Secure Router Checker irá verificar se há seqüestro de DNS, e o WhiteHat Security Tool monitora os seqüestros de DNS.
Agora lê: O que é o seqüestro de DNS?
Observação e comentários são bem vindos.
Posts relacionados:
- O que é um ataque de sequestro de DNS e como evitá-lo
- Otimize sua conexão com a Internet para velocidade com benchmark de DNS
- Compreendendo a pesquisa de DNS: um guia para o DNS
- Yandex DNS Review: Internet mais rápida e segura com controles
- O que é um vazamento de DNS e como parar o vazamento de DNS
