DNS jest ważny w rozwiązywaniu adresów URL^(URLs) , które wpisujesz w pasku adresu przeglądarki. Wiele pracy włożono w rozpoznawanie nazw domen^{(Domain Name Resolution)} . Jest to rodzaj operacji rekurencyjnej, która pomaga przeglądarce uzyskać adres IP witryny, do której próbujesz dotrzeć. Jeśli jesteś zainteresowany, możesz przeczytać więcej o wyszukiwaniu DNS i serwerach^{(DNS Lookup and Servers)} .

Termin pamięć podręczna DNS^{(DNS Cache)} odnosi się do lokalnej pamięci podręcznej zawierającej rozpoznane adresy IP często odwiedzanych witryn internetowych. Ideą pamięci podręcznej DNS^{(DNS Cache)} jest zaoszczędzenie czasu, który w przeciwnym razie zostałby poświęcony na kontaktowanie się z serwerami DNS , które rozpoczęłyby zestaw operacji rekurencyjnych w celu znalezienia rzeczywistego adresu IP adresu URL , do którego należy dotrzeć. Jednak ta pamięć podręczna może zostać zatruta przez cyberprzestępców, po prostu zmieniając wpisy w pamięci podręcznej DNS na fałszywe adresy IP witryn, z których korzystasz.

Co to jest przechwytywanie DNS

Jak sama nazwa wskazuje, przejęcie lub przekierowanie ^{(Redirection)}DNS^{(DNS Hijacking)} to metoda wykorzystywana przez cyberprzestępców do przejęcia próby przejęcia przez przeglądarkę adresu IP witryny, którą chcesz załadować. Aby ułatwić korzystanie, używane przez nas adresy URL^(URLs) są w formacie tekstowym. Dla każdego adresu URL^(URL) istnieje adres IP, a zestaw operacji służy do konwersji tekstu adresu URL^(URL) na numeryczny adres IP. Ponieważ istnieje wiele operacji związanych z rozwiązywaniem adresu IP, cyberprzestępcy mogą wykorzystać opóźnienie i wysłać na twój komputer fałszywy adres IP, który do nich należy.

Najpopularniejszą metodą przechwytywania DNS^{(common method for DNS Hijacking)} jest zainstalowanie na komputerze złośliwego oprogramowania, które zmienia DNS w taki sposób, że za każdym razem, gdy przeglądarka próbuje rozwiązać adres URL^(URL) , kontaktuje się z jednym z fałszywych serwerów DNS zamiast z prawdziwymi serwerami DNS używanymi przez ICANN (autorytet Internet odpowiedzialny za rejestrację domen, zarządzanie nimi, udostępnianie im adresów IP, utrzymywanie adresów kontaktowych i inne). Bezpośrednie serwery DNS , z którymi kontaktuje się Twój komputer, to serwery DNS obsługiwane przez Twojego dostawcę usług internetowych –^{(Internet Service Provider –)}chyba że zmieniłeś je na coś innego. W przypadku zakupu połączenia internetowego używane są serwery DNS dostawcy usług internetowych –^{(ISP –)} rozpoznawane przez ICANN .

Złośliwe oprogramowanie na Twoim komputerze zmienia domyślny DNS zaufany przez Twój komputer, aby wskazywał inny adres IP. W ten sposób, gdy przeglądarka próbuje rozwiązać adres IP, komputer kontaktuje się z fałszywym serwerem DNS , który podaje nieprawidłowy adres IP. Powoduje to wczytanie przez przeglądarkę złośliwej witryny, która może zagrozić Twojemu komputerowi lub wykraść Twoje dane uwierzytelniające itp.

Przechwytywanie DNS^{(DNS Hijacking)} a zatruwanie pamięci podręcznej^{(DNS Cache)} DNS

Chociaż oba mają miejsce na poziomie lokalnym, ich pochodzenie pochodzi z fałszywych serwerów DNS . Podczas gdy przechwytywanie DNS wiąże się ze złośliwym oprogramowaniem^{(DNS hijacking involves malware)} , zatruwanie pamięci podręcznej DNS polega na nadpisaniu lokalnej pamięci podręcznej DNS fałszywymi wartościami^{(DNS Cache poisoning involves overwriting your local DNS cache with fake values)} , które przekierowują przeglądarkę do złośliwych witryn internetowych. Zatrucie lub fałszowanie pamięci podręcznej DNS^{(DNS Cache Poisoning or Spoofing)} obejmuje techniki, takie jak bombardowanie fałszywych adresów IP, które komputer odbiera, podczas gdy prawdziwe serwery DNS są nadal zajęte rozwiązywaniem adresu URL^(URL) . Oznacza to, że w czasie, jaki zajmuje prawdziwym serwerom DNS , aby rozwiązać adres URL^(URL) , cyberprzestępcy wysyłają wiele odpowiedzi, które utożsamiają adres URL^(URL) z fałszywymi adresami IP.

Na przykład wpisujesz thewindowsclub.com w przeglądarce. Zanim prawdziwy serwer DNS wyszuka adresy, Twój komputer otrzyma więcej niż jedno rozpoznanie, że witryna jest pod adresem IP XYZ^{(XYZ IP)} . To sprawi, że Twój komputer uwierzy, że witryna znajduje się pod adresem XYZ , mimo że prawdziwy serwer DNS wysyła prawdziwy adres IP, ponieważ serwery DNS cyberprzestępców wysłały wiele odpowiedzi zawierających fałszywe adresy IP dla witryny thewindowsclub.com^{(thewindowsclub.com)} .

Ta różnica w czasie jest skutecznie wykorzystywana przez cyberprzestępców, którzy mają wiele fałszywych serwerów DNS , aby Twój komputer zapisywał błędne i złośliwe adresy IP w pamięci podręcznej. Tak więc jedna z dziesięciu fałszywych rozdzielczości DNS wysyłanych przez serwery ^(DNS)DNS cyberprzestępców ma pierwszeństwo przed jedną prawdziwą rozdzielczością DNS wysłaną przez prawdziwe serwery DNS . Inne metody zatruwania pamięci podręcznej DNS^{(DNS Cache Poisoning)} i zapobiegania są wymienione w linku podanym powyżej.

Chociaż DNS Cache Poisoning i DNS Hijacking są używane zamiennie, istnieje między nimi niewielka różnica. Metoda zatruwania pamięci podręcznej DNS^{(DNS Cache Poisoning)} nie obejmuje wstrzykiwania złośliwego oprogramowania do systemu komputerowego, ale opiera się na różnych metodach, takich jak ta wyjaśniona powyżej, w której fałszywe serwery DNS wysyłają adres URL^(URL) szybciej niż prawdziwy serwer DNS , a tym samym pamięć podręczna jest zatruta. Gdy pamięć podręczna zostanie zatruta, podczas korzystania z zainfekowanej witryny komputer jest zagrożony. W przypadku przejęcia DNS^{(DNS Hijacking)} jesteś już zainfekowany. Złośliwe oprogramowanie zmienia domyślny DNSdostawcę usług do czegoś, czego chcą cyberprzestępcy. Stamtąd kontrolują rozwiązania adresów URL^(URL) ( wyszukiwania DNS ), a następnie zatruwają pamięć podręczną DNS .

Jak zapobiec przejmowaniu DNS?

Omówiliśmy już, jak zapobiegać zatruciu DNS^{(prevent DNS poisoning)} . Aby zatrzymać lub zapobiec przejmowaniu DNS^{(DNS Hijacking)} , zaleca się korzystanie z dobrego oprogramowania zabezpieczającego,^{(good security software)} które chroni przed złośliwym oprogramowaniem, takim jak zmieniacze DNS . Korzystanie z dobrej zapory sieciowej^(Firewall) . Chociaż zapora sprzętowa jest najlepsza, jeśli jej nie masz, możesz przynajmniej włączyć zaporę routera.

Jeśli uważasz, że jesteś już zainfekowany, lepiej usunąć zawartość pliku HOSTS^{(HOSTS file)}  i zresetować plik Hosts^{(reset the Hosts File)} . Po wykonaniu tej czynności użyj oprogramowania antymalware, które pomoże Ci pozbyć się Zmieniaczy DNS .

Sprawdź, czy jakiś zmieniacz DNS zmienił Twój ^(DNS)DNS . Jeśli tak, zmień ustawienia DNS^{(change your DNS settings)} . Możesz to sprawdzić automatycznie. Alternatywnie możesz ręcznie sprawdzić DNS . Zacznij od sprawdzenia DNS wymienionego w Routerze^(Router) , a następnie w poszczególnych komputerach w Twojej sieci. Zalecam opróżnienie pamięci podręcznej DNS systemu Windows i zmianę ^{(flush your Windows DNS Cache)}DNS routera na inny DNS , taki jak Comodo DNS , Open DNS, Google Public DNS, Yandex Secure DNS, Angel DNS itp. Bezpieczny DNSw routerze jest lepsze niż konfigurowanie każdego komputera.

Istnieją narzędzia, które mogą Cię zainteresować^{(There are tools that may interest you)} : F-Secure Router Checker sprawdzi, czy nie doszło do przejęcia DNS , to ^(DNS)narzędzie online sprawdza przejęcia DNS , a narzędzie WhiteHat Security Tool monitoruje przejęcia DNS.

Teraz przeczytaj^{(Now read)} : Co to jest przejęcie domeny i jak odzyskać przejętą domenę.

What is a DNS Hijacking attack & how to prevent it

DNS is important in resolving the URLs you enter into the address bar of your browser. A lot of work goes into Domain Name Resolution. It is a sort of recursive operation that helps your browser get the IP address of the website you are trying to reach out. If interested, you can read more about DNS Lookup and Servers.

The term DNS Cache refers to the local cache that contains the resolved IP addresses of websites that you frequent. The idea of DNS Cache is to save time that would otherwise be spent on contacting DNS servers that would start a set of recursive operations to find out the actual IP address of the URL you need to reach. But this cache can be poisoned by cybercriminals simply by changing the entries in your DNS cache to fake IP addresses for the websites you use.

What is DNS Hijacking

As the name suggests, DNS Hijacking or Redirection is a method used by cybercriminals to hijack your browser’s attempt to resolve the IP address of the website you wish to load. For ease of use, the URLs we use are in text format. For each URL, there is an IP address, and a set of operations go into converting the text URL into a numerical IP address. Since there are many operations involved in resolving the IP address,  cybercriminals can take advantage of the delay and send to your computer, a fake IP address that belongs to them.

The most common method for DNS Hijacking is to install malware on your computer that changes the DNS so that whenever your browser tries to resolve a URL, it contacts one of the fake DNS servers instead of real DNS servers that are used by ICANN (authority of Internet that is responsible for registering domains, managing them, providing them with IP addresses, maintaining the contact addresses and more). The direct DNS servers that your computer contacts are the DNS servers being operated by your Internet Service Provider – unless you’ve changed them to something else. When an internet connection is bought, the DNS servers in use are of the ISP – recognized by ICANN.

The malware on your computer changes the default DNS trusted by your computer to point to some other IP address. That way, when your browser tries to resolve an IP address, your computer contacts a fake DNS server that gives you the wrong IP address. This results in your browser loading a malicious website that may compromise your computer or steal your credentials etc.

DNS Hijacking vs. DNS Cache Poisoning

Though both happen at the local level, their origins are from fake DNS servers. While DNS hijacking involves malware, DNS Cache poisoning involves overwriting your local DNS cache with fake values that redirect your browser to malicious websites. DNS Cache Poisoning or Spoofing involves techniques such as the bombardment of fake IP addresses that your computer picks up while the genuine DNS servers are still busy resolving the URL. That is, in the time that takes by genuine DNS servers to resolve a URL, the cybercriminals send plenty of responses that equate the URL with fake IP addresses.

For example, you type thewindowsclub.com in your browser. By the time a genuine DNS server looks up the addresses, your computer receives more than one resolution that the site is at XYZ IP address. This will make your computer believe that the site is at XYZ even though the genuine DNS server sends the genuine IP address because the cybercriminals’ DNS servers sent many responses containing a fake IP for thewindowsclub.com.

This difference in time is used effectively by cybercriminals who have many fake DNS servers to get your computer note down wrong and malicious IP addresses to the cache. So one out of the ten fake DNS resolutions sent by cybercriminals’ DNS servers takes precedence over one genuine DNS resolution sent by the genuine DNS servers. Other methods of DNS Cache Poisoning and prevention are listed in the link provided above.

Though DNS Cache Poisoning and DNS Hijacking are used interchangeably, there is a small difference between them. The method of DNS Cache Poisoning does not involve injecting malware into your computer system but is based on different methods like the one explained above where fake DNS servers send a URL resolution faster than the genuine DNS server and thus the cache is poisoned. Once the cache is poisoned, when you use an infected website, your computer is compromised. In the case of DNS Hijacking, you are already infected. A malware changes your default DNS service provider to something that the cybercriminals want. And from there, they control your URL resolutions (DNS lookups), and then they keep on poisoning your DNS cache.

How to prevent DNS Hijacking

We have discussed how to prevent DNS poisoning already. To stop or prevent DNS Hijacking, it is recommended that you use good security software that keeps malware such as DNS changers away. Using a good Firewall. While a hardware-based firewall is best, if you do not have it, you could turn on your router firewall at the least.

If you think you are already infected, it is better to delete the contents of the HOSTS file and reset the Hosts File. After doing this, go ahead and use antimalware that helps you get rid of DNS Changers.

Check if any DNS changer has changed your DNS. If it has, you should change your DNS settings. You can check it automatically. Alternatively, you can check for the DNS manually. Start by checking the DNS mentioned in Router and then in individual computers on your network. I would recommend that you flush your Windows DNS Cache and change your router DNS to some other DNS like Comodo DNS, Open DNS, Google Public DNS, Yandex Secure DNS, Angel DNS, etc. A secure DNS in the router is better than configuring each computer.

There are tools that may interest you: F-Secure Router Checker will check for DNS hijacking, this online tool checks for DNS Hijackings, and WhiteHat Security Tool monitors DNS hijackings.

Now read: What is Domain Hijacking and how to recover a hijacked domain.

Related posts

• Najlepsze bezpłatne usługi dynamicznego DNS w sieci, z których powinieneś korzystać

• System Windows nie może komunikować się z urządzeniem lub zasobem (serwer DNS)

• DNSLookupView to bezpłatne narzędzie do wyszukiwania DNS dla komputerów z systemem Windows

• Jak włączyć DNS przez HTTPS w Windows 11/10?

• Jak zmienić ustawienia serwera DNS na Xbox One, aby przyspieszyć?

• Bezpłatne narzędzia wyszukiwania DNS i usługi online

• SONDA DNS ZAKOŃCZONA Nie można znaleźć adresu IP serwera NXDOMAIN

• Zatruwanie i fałszowanie pamięci podręcznej DNS — co to jest?

• 10 najlepszych publicznych serwerów DNS w 2022 r.: porównanie i przegląd

• Jak skonfigurować publiczny DNS Google na swoim komputerze?

• DNS nie rozpoznaje nazw serwerów Xbox na konsoli Xbox

• Recenzja OpenDNS — bezpłatny DNS z kontrolą rodzicielską i szybkością

• Recenzja Yandex DNS: szybszy, bezpieczniejszy Internet dzięki kontrolkom

• Co to jest serwer DNS innej firmy? 8 powodów, dla których warto korzystać z publicznych serwerów DNS

• Jak usunąć określone domeny z Firefox DNS przez HTTPS

• Twój serwer DNS może być niedostępny w systemie Windows 11/10

• Narzędzie publicznego serwera DNS to darmowy zmieniacz DNS dla systemu Windows 10

• Jak zmienić serwer DNS za pomocą wiersza polecenia i PowerShell

• Komputer wydaje się być poprawnie skonfigurowany, ale urządzenie lub zasób nie odpowiada

• Co to jest DNS? Jak to jest przydatne?