DNS é importante para resolver os URLs inseridos na barra de endereço do seu navegador. Muito trabalho entra em Resolução de nomes de domínio. É uma espécie de operação recursiva que ajuda seu navegador a obter o endereço IP do site que você está tentando acessar. Se estiver interessado, você pode ler mais sobre DNS Lookup and Servers.
O termo Cache DNS refere-se ao cache local que contém os endereços IP resolvidos dos sites que você frequenta. A idéia do Cache DNS é economizar o tempo que seria gasto em entrar em contato com servidores DNS que iniciariam um conjunto de operações recursivas para descobrir o endereço IP real da URL que você precisa alcançar. Mas esse cache pode ser envenenado por criminosos virtuais simplesmente alterando as entradas do seu cache DNS para endereços IP falsos dos sites que você usa.
O que é o seqüestro de DNS?
Como o nome sugere, o desvio ou redirecionamento de DNS é um método usado pelos cibercriminosos para sequestrar a tentativa do navegador de resolver o endereço IP do site que você deseja carregar. Para facilitar o uso, os URLs que usamos estão em formato de texto. Para cada URL, há um endereço IP e um conjunto de operações para converter o URL de texto em um endereço IP numérico. Como há muitas operações envolvidas na resolução do endereço IP, os cibercriminosos podem aproveitar o atraso e enviar para o seu computador um endereço IP falso que pertence a eles.
A maioria método comum para o seqüestro de DNS é instalar um malware no seu computador que altere o DNS para que, sempre que o navegador tentar resolver um URL, entre em contato com um dos servidores DNS falsos em vez dos servidores DNS reais usados pela ICANN (autoridade da Internet responsável por registrar domínios, gerenciando-os, fornecendo-lhes endereços IP, mantendo os endereços de contato e muito mais). Os servidores DNS diretos que os contatos do seu computador são os servidores DNS que estão sendo operados pelo seu provedor de serviços de Internet, a menos que você os tenha alterado para outra coisa. Quando uma conexão com a Internet é adquirida, os servidores DNS em uso são do ISP - reconhecido pela ICANN.
O malware no seu computador altera o DNS padrão de confiança do seu computador para apontar para algum outro endereço IP. Dessa forma, quando o navegador tentar resolver um endereço IP, o computador contata um servidor DNS falso que fornece um endereço IP incorreto. Isso resulta em seu navegador carregando um site mal-intencionado que pode comprometer seu computador ou roubar suas credenciais etc.
DNS Hijacking vs. DNS Cache Envenenamento
Embora ambos ocorram no nível local, suas origens são de servidores DNS falsos. Enquanto o O sequestro de DNS envolve um malware, a O envenenamento de cache DNS envolve substituir seu cache DNS local por valores falsos que redirecionam seu navegador para sites maliciosos. Envenenamento ou falsificação de cache DNS envolve técnicas como o bombardeamento de endereços IP falsos que o computador coleta enquanto os servidores DNS genuínos ainda estão ocupados resolvendo a URL. Ou seja, no tempo que os servidores DNS genuínos usam para resolver um URL, os cibercriminosos enviam muitas respostas que igualam o URL a endereços IP falsos.
Por exemplo, você digita thewindowsclub.com no seu navegador. No momento em que um servidor DNS genuíno procura os endereços, seu computador recebe mais de uma resolução de que o site está no endereço IP XYZ. Isso fará com que seu computador acredite que o site está em XYZ, embora o servidor DNS genuíno envie o endereço IP original porque os servidores DNS dos cibercriminosos enviaram muitas respostas contendo um IP falso para thewindowsclub.com.
Essa diferença de tempo é usada efetivamente por criminosos virtuais que têm muitos servidores DNS falsos para fazer com que o seu computador anote endereços IP mal-intencionados no cache. Assim, uma das dez resoluções falsas de DNS enviadas pelos servidores DNS dos cibercriminosos tem precedência sobre uma resolução de DNS genuína enviada pelos servidores DNS genuínos. Outros métodos de envenenamento e prevenção de cache DNS são listados no link fornecido acima.
Embora o DNS Cache Poisoning e o DNS Hijacking sejam usados de forma intercambiável, há uma pequena diferença entre eles. O método de DNS Cache Poisoning não envolve a injeção de malware no sistema do computador, mas é baseado em métodos diferentes como o explicado acima, onde os servidores DNS falsos enviam uma resolução de URL mais rápida do que o servidor DNS genuíno e, portanto, o cache é envenenado. Quando o cache é envenenado, quando você usa um site infectado, seu computador fica comprometido. No caso do DNS Hijacking, você já está infectado. Um malware altera seu provedor de serviços de DNS padrão para algo que os cibercriminosos desejam. E a partir daí, eles controlam suas resoluções de URL (pesquisas de DNS) e, em seguida, continuam envenenando seu cache de DNS.
Como evitar o seqüestro de DNS
Já discutimos como prevenir o envenenamento de DNS. Para interromper ou impedir o seqüestro de DNS, é recomendável que você use um bom software de segurança que mantenha malwares como os trocadores de DNS. Usando um bom Firewall. Embora um firewall baseado em hardware seja o melhor, se você não o tiver, poderá ativar o firewall do roteador.
Se você acha que já está infectado, é melhor excluir o conteúdo do arquivo HOSTS e redefinir o arquivo hosts. Depois de fazer isso, vá em frente e use um antimalware que ajude a se livrar dos DNS Changers.
Verifique se algum alterador de DNS mudou seu DNS. Se tiver, você deve alterar suas configurações de DNS. Você pode verificar isso automaticamente. Como alternativa, você pode verificar o DNS manualmente. Comece verificando o DNS mencionado no roteador e, em seguida, em computadores individuais na sua rede.Eu recomendo que você libere o seu DNS do Windows Cache e mude o DNS do seu roteador para algum outro DNS como Comodo DNS, DNS aberto, DNS público do Google, DNS seguro Yandex, DNS Angel, etc. Um DNS seguro no roteador é melhor do que configurar cada computador.
Existem ferramentas que podem lhe interessar: O F-Secure Router Checker irá verificar se há sequestro de DNS, esta ferramenta online verifica se há seqüestros de DNS e o WhiteHat Security Tool monitora os seqüestros de DNS.
Agora lê: O que é o seqüestro de domínio e como recuperar um domínio invadido.
