DNS-Cache-Vergiftung und -Spoofing

DNS steht für Domain Name System, und dies hilft einem Browser beim Ermitteln der IP-Adresse einer Website, damit diese auf Ihren Computer geladen werden kann. DNS-Cache ist eine Datei auf Ihrem oder Ihrem ISP-Computer, die eine Liste von IP-Adressen von regelmäßig genutzten Websites enthält. In diesem Artikel wird erläutert, was DNS-Cache-Poisoning und DNS-Spoofing ist.

DNS-Cache Poisoning

Jedes Mal, wenn ein Benutzer eine Website-URL in seinem Browser eingibt, kontaktiert der Browser eine lokale Datei (DNS-Cache) Irgendein Eintrag, um die IP-Adresse der Website zu lösen. Der Browser benötigt die IP-Adresse von Websites, damit er sich mit der Website verbinden kann. Es kann nicht einfach die URL verwenden, um direkt mit der Website zu verbinden. Es muss in eine korrekte IPv4- oder IPv6-IP-Adresse aufgelöst werden. Wenn der Datensatz vorhanden ist, wird er vom Webbrowser verwendet. Andernfalls wird es zu einem DNS-Server gehen, um die IP-Adresse zu erhalten. Dies wird als DNS-Suche bezeichnet.

Ein DNS-Cache wird auf Ihrem Computer oder auf dem DNS-Server-Computer Ihres Internetdienstanbieters erstellt, so dass der Zeitaufwand für die Abfrage des DNS einer URL reduziert wird. Im Grunde sind DNS-Caches kleine Dateien, die die IP-Adresse verschiedener Websites enthalten, die häufig auf einem Computer oder Netzwerk verwendet werden. Bevor Sie mit DNS-Servern Kontakt aufnehmen, kontaktieren Computer in einem Netzwerk den lokalen Server, um festzustellen, ob ein Eintrag im DNS-Cache vorhanden ist. Wenn es eines gibt, werden die Computer es benutzen; Andernfalls kontaktiert der Server einen DNS-Server und ruft die IP-Adresse ab. Anschließend wird der lokale DNS-Cache mit der neuesten IP-Adresse für die Website aktualisiert.

Für jeden Eintrag in einem DNS-Cache ist ein Zeitlimit festgelegt, abhängig vom Betriebssystem und der Genauigkeit der DNS-Auflösungen. Nach Ablauf des Zeitraums kontaktiert der Computer oder Server, der den DNS-Cache enthält, den DNS-Server und aktualisiert den Eintrag, damit die Informationen korrekt sind.

Es gibt jedoch Personen, die den DNS-Cache für kriminelle Aktivitäten vergiften können.

Das Poisoning des Caches bedeutet das Ändern der realen Werte von URLs. Cyberkriminelle können beispielsweise eine Website erstellen, die etwa wie folgt aussieht: xyz.com und ihren DNS-Eintrag in Ihren DNS-Cache eingeben. Wenn Sie also in der Adressleiste des Browsers xyz.com eingeben, wird dieser die IP-Adresse der gefälschten Website übernehmen und Sie dorthin bringen, anstatt die echte Website. Dies wird Pharming genannt. Mit dieser Methode können Cyberkriminelle Ihre Anmeldedaten und andere Informationen wie Kartendetails, Sozialversicherungsnummer, Telefonnummern und mehr für Identitätsdiebstahl ausspähen. Die DNS-Poisoning wird auch durchgeführt, um Malware in Ihren Computer oder Ihr Netzwerk zu injizieren. Sobald Sie mit einem vergifteten DNS-Cache auf einer gefälschten Website landen, können die Kriminellen alles tun, was sie wollen.

Manchmal können Kriminelle anstelle des lokalen Caches auch gefälschte DNS-Server einrichten, so dass sie gefälscht werden können IP-Adressen Dies ist eine DNS-Poisoning auf hoher Ebene und beschädigt die meisten DNS-Caches in einem bestimmten Bereich, wodurch viele weitere Benutzer betroffen sind.

Lesen Sie über : Comodo Secure DNS | OpenDNS | Google Öffentlicher DNS | Yandex Sichere DNS | Angel DNS.

DNS-Cache-Spoofing

Beim DNS-Spoofing handelt es sich um eine Art von Angriff, bei der DNS-Serverantworten gefälscht werden, um falsche Informationen einzugeben. Bei einem Spoofing-Angriff versucht ein böswilliger Benutzer zu erraten, dass ein DNS-Client oder -Server eine DNS-Abfrage gesendet hat und auf eine DNS-Antwort wartet. Bei einem erfolgreichen Spoofing-Angriff wird eine falsche DNS-Antwort in den Cache des DNS-Servers eingefügt. Dieser Vorgang wird als Cache-Poisoning bezeichnet. Ein gefälschter DNS-Server hat keine Möglichkeit, zu überprüfen, ob DNS-Daten authentisch sind, und antwortet mit der falschen Information aus seinem Cache.

DNS-Cache-Spoofing klingt ähnlich wie DNS-Cache-Vergiftung, aber es gibt einen kleinen Unterschied. DNS-Cache-Spoofing ist eine Reihe von Methoden zum Vergiften eines DNS-Cache. Dies kann ein erzwungener Zugriff auf den Server eines Computernetzwerks sein, um den DNC-Cache zu ändern und zu bearbeiten. Dies könnte einen gefälschten DNS-Server einrichten, so dass falsche Antworten gesendet werden, wenn sie abgefragt werden. Es gibt viele Möglichkeiten, einen DNS-Cache zu vergiften, und eine der üblichen Methoden ist das DNS-Cache-Spoofing.

Lesen Sie : So ermitteln Sie, ob die DNS-Einstellungen Ihres Computers mit ipconfig kompromittiert wurden.

DNS-Cache-Poisoning - Prävention

Es gibt nicht viele Methoden, um DNS-Cache-Poisoning zu verhindern. Die beste Methode ist es, Ihre Sicherheitssysteme auf zu skalieren , damit kein Angreifer Ihr Netzwerk gefährden und den lokalen DNS-Cache manipulieren kann. Verwenden Sie eine gute Firewall , die DNS-Cache-Poisoning-Attacken erkennen kann. Das häufige Löschen des DNS-Caches ist eine Option, die einige von Ihnen in Betracht ziehen.

Andere als Sicherheitssysteme, Admins sollte ihre Firmware und Software aktualisieren, um die Sicherheitssysteme auf dem neuesten Stand zu halten. Betriebssysteme sollten mit den neuesten Updates gepatcht werden. Es sollte keine ausgehende Verbindung von Dritten geben. Der Server sollte die einzige Schnittstelle zwischen dem Netzwerk und dem Internet sein und sollte hinter einer guten Firewall stehen.

Die Vertrauensbeziehungen von Servern im Netzwerk sollten höher verschoben werden, damit sie nicht nach irgendwelchen fragen Server für DNS-Auflösungen. Auf diese Weise können nur die Server mit echten Zertifikaten mit dem Netzwerkserver kommunizieren, während DNS-Server aufgelöst werden.

Die -Periode jedes Eintrags im DNS-Cache sollte kurz sein, damit DNS-Einträge mehr abgerufen werden häufig und werden aktualisiert. Dies kann längere Zeiträume für die Verbindung mit Websites bedeuten (zeitweise), verringert jedoch die Wahrscheinlichkeit, einen vergifteten Cache zu verwenden.

DNS-Cache-Sperre sollte auf Ihrem Windows-System zu 90% oder höher konfiguriert sein. Durch die Cache-Sperre in Windows Server können Sie steuern, ob Informationen im DNS-Cache überschrieben werden können. Weitere Informationen hierzu finden Sie unter TechNet.

Verwenden Sie den DNS-Socketpool, damit ein DNS-Server bei der Ausgabe von DNS-Abfragen die Quellport-Randomisierung verwenden kann. Dies bietet laut TechNet eine verbesserte Sicherheit gegen Cache-Poisoning-Angriffe.

DNSSEC (Domain Name System Security Extensions) ist eine Suite von Erweiterungen für Windows Server, die dem DNS-Protokoll Sicherheit verleihen. Weitere Informationen hierzu finden Sie hier.

Es gibt zwei Tools, die Sie interessieren könnten : F-Secure Router Checker prüft auf DNS-Hijacking und WhiteHat Security Tool überwacht DNS-Hijackings.

Lesen Sie jetzt: Was ist DNS-Hijacking?

Beobachtungen und Kommentare sind willkommen.