Co to jest atak typu DNS Hijacking i jak mu zapobiegać

DNS jest ważny w rozwiązywaniu adresów URL(URLs) , które wpisujesz w pasku adresu przeglądarki. Wiele pracy włożono w rozpoznawanie nazw domen(Domain Name Resolution) . Jest to rodzaj operacji rekurencyjnej, która pomaga przeglądarce uzyskać adres IP witryny, do której próbujesz dotrzeć. Jeśli jesteś zainteresowany, możesz przeczytać więcej o wyszukiwaniu DNS i serwerach(DNS Lookup and Servers) .

Termin pamięć podręczna DNS(DNS Cache) odnosi się do lokalnej pamięci podręcznej zawierającej rozpoznane adresy IP często odwiedzanych witryn internetowych. Ideą pamięci podręcznej DNS(DNS Cache) jest zaoszczędzenie czasu, który w przeciwnym razie zostałby poświęcony na kontaktowanie się z serwerami DNS , które rozpoczęłyby zestaw operacji rekurencyjnych w celu znalezienia rzeczywistego adresu IP adresu URL , do którego należy dotrzeć. Jednak ta pamięć podręczna może zostać zatruta przez cyberprzestępców, po prostu zmieniając wpisy w pamięci podręcznej DNS na fałszywe adresy IP witryn, z których korzystasz.

Porywanie dns

Co to jest przechwytywanie DNS

Jak sama nazwa wskazuje, przejęcie lub przekierowanie (Redirection)DNS(DNS Hijacking) to metoda wykorzystywana przez cyberprzestępców do przejęcia próby przejęcia przez przeglądarkę adresu IP witryny, którą chcesz załadować. Aby ułatwić korzystanie, używane przez nas adresy URL(URLs) są w formacie tekstowym. Dla każdego adresu URL(URL) istnieje adres IP, a zestaw operacji służy do konwersji tekstu adresu URL(URL) na numeryczny adres IP. Ponieważ istnieje wiele operacji związanych z rozwiązywaniem adresu IP, cyberprzestępcy mogą wykorzystać opóźnienie i wysłać na twój komputer fałszywy adres IP, który do nich należy.

Najpopularniejszą metodą przechwytywania DNS(common method for DNS Hijacking) jest zainstalowanie na komputerze złośliwego oprogramowania, które zmienia DNS w taki sposób, że za każdym razem, gdy przeglądarka próbuje rozwiązać adres URL(URL) , kontaktuje się z jednym z fałszywych serwerów DNS zamiast z prawdziwymi serwerami DNS używanymi przez ICANN (autorytet Internet odpowiedzialny za rejestrację domen, zarządzanie nimi, udostępnianie im adresów IP, utrzymywanie adresów kontaktowych i inne). Bezpośrednie serwery DNS , z którymi kontaktuje się Twój komputer, to serwery DNS obsługiwane przez Twojego dostawcę usług internetowych –(Internet Service Provider –)chyba że zmieniłeś je na coś innego. W przypadku zakupu połączenia internetowego używane są serwery DNS dostawcy usług internetowych –(ISP –) rozpoznawane przez ICANN .

Złośliwe oprogramowanie na Twoim komputerze zmienia domyślny DNS zaufany przez Twój komputer, aby wskazywał inny adres IP. W ten sposób, gdy przeglądarka próbuje rozwiązać adres IP, komputer kontaktuje się z fałszywym serwerem DNS , który podaje nieprawidłowy adres IP. Powoduje to wczytanie przez przeglądarkę złośliwej witryny, która może zagrozić Twojemu komputerowi lub wykraść Twoje dane uwierzytelniające itp.

Przechwytywanie DNS(DNS Hijacking) a zatruwanie pamięci podręcznej(DNS Cache) DNS

Chociaż oba mają miejsce na poziomie lokalnym, ich pochodzenie pochodzi z fałszywych serwerów DNS . Podczas gdy przechwytywanie DNS wiąże się ze złośliwym oprogramowaniem(DNS hijacking involves malware) , zatruwanie pamięci podręcznej DNS polega na nadpisaniu lokalnej pamięci podręcznej DNS fałszywymi wartościami(DNS Cache poisoning involves overwriting your local DNS cache with fake values) , które przekierowują przeglądarkę do złośliwych witryn internetowych. Zatrucie lub fałszowanie pamięci podręcznej DNS(DNS Cache Poisoning or Spoofing) obejmuje techniki, takie jak bombardowanie fałszywych adresów IP, które komputer odbiera, podczas gdy prawdziwe serwery DNS są nadal zajęte rozwiązywaniem adresu URL(URL) . Oznacza to, że w czasie, jaki zajmuje prawdziwym serwerom DNS , aby rozwiązać adres URL(URL) , cyberprzestępcy wysyłają wiele odpowiedzi, które utożsamiają adres URL(URL) z fałszywymi adresami IP.

Na przykład wpisujesz thewindowsclub.com w przeglądarce. Zanim prawdziwy serwer DNS wyszuka adresy, Twój komputer otrzyma więcej niż jedno rozpoznanie, że witryna jest pod adresem IP XYZ(XYZ IP) . To sprawi, że Twój komputer uwierzy, że witryna znajduje się pod adresem XYZ , mimo że prawdziwy serwer DNS wysyła prawdziwy adres IP, ponieważ serwery DNS cyberprzestępców wysłały wiele odpowiedzi zawierających fałszywe adresy IP dla witryny thewindowsclub.com(thewindowsclub.com) .

Ta różnica w czasie jest skutecznie wykorzystywana przez cyberprzestępców, którzy mają wiele fałszywych serwerów DNS , aby Twój komputer zapisywał błędne i złośliwe adresy IP w pamięci podręcznej. Tak więc jedna z dziesięciu fałszywych rozdzielczości DNS wysyłanych przez serwery (DNS)DNS cyberprzestępców ma pierwszeństwo przed jedną prawdziwą rozdzielczością DNS wysłaną przez prawdziwe serwery DNS . Inne metody zatruwania pamięci podręcznej DNS(DNS Cache Poisoning) i zapobiegania są wymienione w linku podanym powyżej.

Chociaż DNS Cache Poisoning i DNS Hijacking są używane zamiennie, istnieje między nimi niewielka różnica. Metoda zatruwania pamięci podręcznej DNS(DNS Cache Poisoning) nie obejmuje wstrzykiwania złośliwego oprogramowania do systemu komputerowego, ale opiera się na różnych metodach, takich jak ta wyjaśniona powyżej, w której fałszywe serwery DNS wysyłają adres URL(URL) szybciej niż prawdziwy serwer DNS , a tym samym pamięć podręczna jest zatruta. Gdy pamięć podręczna zostanie zatruta, podczas korzystania z zainfekowanej witryny komputer jest zagrożony. W przypadku przejęcia DNS(DNS Hijacking) jesteś już zainfekowany. Złośliwe oprogramowanie zmienia domyślny DNSdostawcę usług do czegoś, czego chcą cyberprzestępcy. Stamtąd kontrolują rozwiązania adresów URL(URL) ( wyszukiwania DNS ), a następnie zatruwają pamięć podręczną DNS .

Jak zapobiec przejmowaniu DNS?

Omówiliśmy już, jak zapobiegać zatruciu DNS(prevent DNS poisoning) . Aby zatrzymać lub zapobiec przejmowaniu DNS(DNS Hijacking) , zaleca się korzystanie z dobrego oprogramowania zabezpieczającego,(good security software) które chroni przed złośliwym oprogramowaniem, takim jak zmieniacze DNS . Korzystanie z dobrej zapory sieciowej(Firewall) . Chociaż zapora sprzętowa jest najlepsza, jeśli jej nie masz, możesz przynajmniej włączyć zaporę routera.

Jeśli uważasz, że jesteś już zainfekowany, lepiej usunąć zawartość pliku HOSTS(HOSTS file)  i zresetować plik Hosts(reset the Hosts File) . Po wykonaniu tej czynności użyj oprogramowania antymalware, które pomoże Ci pozbyć się Zmieniaczy DNS .

Sprawdź, czy jakiś zmieniacz DNS zmienił Twój (DNS)DNS . Jeśli tak, zmień ustawienia DNS(change your DNS settings) . Możesz to sprawdzić automatycznie. Alternatywnie możesz ręcznie sprawdzić DNS . Zacznij od sprawdzenia DNS wymienionego w Routerze(Router) , a następnie w poszczególnych komputerach w Twojej sieci. Zalecam opróżnienie pamięci podręcznej DNS systemu Windows i zmianę (flush your Windows DNS Cache)DNS routera na inny DNS , taki jak Comodo DNS , Open DNS, Google Public DNS, Yandex Secure DNS, Angel DNS itp. Bezpieczny DNSw routerze jest lepsze niż konfigurowanie każdego komputera.

Istnieją narzędzia, które mogą Cię zainteresować(There are tools that may interest you) : F-Secure Router Checker sprawdzi, czy nie doszło do przejęcia DNS , to (DNS)narzędzie online sprawdza przejęcia DNS , a narzędzie WhiteHat Security Tool monitoruje przejęcia DNS.

Teraz przeczytaj(Now read) : Co to jest przejęcie domeny i jak odzyskać przejętą domenę.



About the author

Jestem inżynierem oprogramowania z ponad dwuletnim doświadczeniem w pracy nad aplikacjami mobilnymi i desktopowymi. Mam doświadczenie w aktualizacjach systemu Windows, usługach i Gmailu. Moje umiejętności sprawiają, że jestem idealnym kandydatem do zadań takich jak tworzenie aplikacji Windows lub utrzymywanie klientów poczty e-mail.



Related posts