DNS-Cache-Vergiftung und Spoofing
DNS steht für Domain Name System (Domain Name System) und hilft einem Browser dabei, die IP-Adresse einer Website herauszufinden, damit er diese auf Ihrem Computer laden kann. DNS-Cache ist eine Datei auf Ihrem Computer oder bei Ihrem Internetdienstanbieter, die eine Liste mit IP-Adressen regelmäßig genutzter Websites enthält. Dieser Artikel beschreibt, was DNS-Cache-Poisoning und DNS-Spoofing ist.
DNS-Cache-Vergiftung
Jedes Mal, wenn ein Benutzer eine Website-URL in seinen Browser eingibt, kontaktiert der Browser eine lokale Datei (DNS-Cache), um zu sehen, ob Einträge vorhanden sind, um die IP-Adresse der Website aufzulösen. Der Browser benötigt die IP-Adresse von Websites, damit er sich mit der Website verbinden kann. Es kann nicht einfach die URL verwendet werden, um eine direkte Verbindung zur Website herzustellen. Es muss in eine richtige IPv4- oder IPv6-IP-Adresse aufgelöst werden. Wenn der Datensatz vorhanden ist, wird er vom Webbrowser verwendet. Andernfalls geht es zu einem DNS-Server, um die IP-Adresse abzurufen. Dies wird als DNS-Lookup bezeichnet.
Auf Ihrem Computer oder dem DNS-Servercomputer Ihres Internetdienstanbieters wird ein DNS-Cache erstellt, sodass die für die Abfrage des DNS einer URL aufgewendete Zeit reduziert wird. DNS-Caches sind im Grunde kleine Dateien, die die IP-Adresse verschiedener Websites enthalten, die häufig in einem Computer oder Netzwerk verwendet werden. Bevor Sie sich mit DNS-Servern in Verbindung setzen, wenden sich Computer in einem Netzwerk an den lokalen Server, um zu sehen, ob ein Eintrag im DNS-Cache vorhanden ist. Wenn es einen gibt, werden die Computer es verwenden. Andernfalls kontaktiert der Server einen DNS-Server und ruft die IP-Adresse ab. Dann wird der lokale DNS-Cache mit der neuesten IP-Adresse für die Website aktualisiert.
Für jeden Eintrag in einem DNS-Cache ist ein Zeitlimit festgelegt, das von den Betriebssystemen und der Genauigkeit der DNS-Auflösungen abhängt. Nach Ablauf des Zeitraums kontaktiert der Computer oder Server, auf dem sich der DNS-Cache befindet, den DNS-Server und aktualisiert den Eintrag, sodass die Informationen korrekt sind.
Es gibt jedoch Leute, die den DNS-Cache für kriminelle Aktivitäten vergiften können.
Den Cache vergiften bedeutet, die tatsächlichen Werte von URLs zu ändern. Zum Beispiel können Cyberkriminelle eine Website erstellen, die wie gesagt aussieht, xyz.com und geben Sie den DNS-Eintrag in Ihren DNS-Cache ein. Also, wenn Sie tippen xyz.com In der Adressleiste des Browsers wird dieser die IP-Adresse der gefälschten Website abrufen und Sie dorthin bringen, anstatt die echte Website. Dies nennt man Pharming. Mit dieser Methode können Cyberkriminelle Ihre Anmeldeinformationen und andere Informationen wie Kartendetails, Sozialversicherungsnummer, Telefonnummern und mehr für Identitätsdiebstahl herausfinden. Die DNS-Vergiftung wird auch durchgeführt, um Malware in Ihren Computer oder Ihr Netzwerk zu injizieren. Wenn Sie mit einem vergifteten DNS-Cache auf einer gefälschten Website landen, können die Kriminellen alles tun, was sie wollen.
Manchmal können Kriminelle anstelle des lokalen Cache auch gefälschte DNS-Server einrichten, sodass sie bei der Abfrage gefälschte IP-Adressen ausgeben können. Dies ist eine hochrangige DNS-Vergiftung, die die meisten DNS-Caches in einem bestimmten Bereich beschädigt und dadurch wesentlich mehr Benutzer beeinträchtigt.
Lesen über: Comodo Secure DNS | OpenDNS | Google Public DNS | Yandex Secure DNS | Angel DNS.
DNS-Cache-Spoofing
Beim DNS-Spoofing handelt es sich um eine Angriffsart, bei der DNS-Serverantworten imitieren, um falsche Informationen einzuführen. Bei einem Spoofing-Angriff versucht ein böswilliger Benutzer zu erraten, dass ein DNS-Client oder -Server eine DNS-Abfrage gesendet hat und auf eine DNS-Antwort wartet. Bei einem erfolgreichen Spoofing-Angriff wird eine gefälschte DNS-Antwort in den Cache des DNS-Servers eingefügt, ein Vorgang, der als Cache Poisoning bezeichnet wird. Ein gefälschter DNS-Server kann nicht überprüfen, ob die DNS-Daten authentisch sind, und er antwortet mit Hilfe der gefälschten Informationen aus dem Cache.
DNS-Cache-Spoofing klingt ähnlich wie DNS-Cache-Poisoning, es gibt jedoch einen kleinen Unterschied. DNS-Cache-Spoofing ist eine Reihe von Methoden, mit denen ein DNS-Cache vergiftet wird. Dies kann ein erzwungener Zugriff auf den Server eines Computernetzwerks sein, um den DNC-Cache zu ändern und zu bearbeiten. Möglicherweise wird ein gefälschter DNS-Server eingerichtet, damit gefälschte Antworten gesendet werden, wenn sie abgefragt werden. Es gibt viele Möglichkeiten, einen DNS-Cache zu vergiften, und DNS-Cache-Spoofing ist eine der häufigsten Methoden.
Lesen: So stellen Sie fest, ob die DNS-Einstellungen Ihres Computers mit ipconfig beeinträchtigt wurden.
DNS-Cache-Vergiftung - Vorbeugung
Es gibt nicht viele Methoden, um die DNS-Cache-Vergiftung zu verhindern. Die beste Methode ist zu skalieren Sie Ihre Sicherheitssysteme so dass kein Angreifer das Netzwerk gefährden und den lokalen DNS-Cache manipulieren kann. Verwenden ein gute Firewall die DNS-Cache-Vergiftungsangriffe erkennen können. Löschen des DNS-Cache Häufig ist auch eine Option, die einige von Ihnen in Betracht ziehen.
Anders als das Vergrößern von Sicherheitssystemen sollten Administratoren dies tun Aktualisieren Sie ihre Firmware und Software um die Sicherheitssysteme aktuell zu halten. Betriebssysteme sollten mit den neuesten Updates aktualisiert werden. Es sollte kein ausgehender Link von Dritten geben. Der Server sollte die einzige Schnittstelle zwischen dem Netzwerk und dem Internet sein und sich hinter einer guten Firewall befinden.
Das Vertrauensbeziehungen von Servern im Netzwerk sollte nach oben verschoben werden, damit sie nicht einfach einen Server nach DNS-Auflösungen fragen. Auf diese Weise können nur Server mit echten Zertifikaten mit dem Netzwerkserver kommunizieren, während DNS-Server aufgelöst werden.
Das Zeitraum Jeder Eintrag im DNS-Cache sollte kurz sein, damit DNS-Einträge häufiger abgerufen und aktualisiert werden. Dies kann längere Zeiträume für das Herstellen einer Verbindung zu Websites (zu bestimmten Zeiten) bedeuten, verringert jedoch die Wahrscheinlichkeit, dass ein vergifteter Cache verwendet wird.
DNS-Cache-Sperre sollte auf Ihrem Windows-System zu mindestens 90% konfiguriert sein. Mit der Cache-Sperre in Windows Server können Sie steuern, ob Informationen im DNS-Cache überschrieben werden können. Weitere Informationen hierzu finden Sie auf TechNet.
Verwenden Sie die DNS-Socket-Pool da es einem DNS-Server ermöglicht, bei der Ausgabe von DNS-Abfragen die Randomisierung des Quellports zu verwenden. Dies bietet eine verbesserte Sicherheit gegen Cache Poisoning-Angriffe, sagt TechNet.
Sicherheitserweiterungen für Domänennamensysteme (DNSSEC) ist eine Suite von Erweiterungen für Windows Server, die dem DNS-Protokoll Sicherheit verleihen. Weitere Informationen hierzu finden Sie hier.
Es gibt zwei Tools, die Sie interessieren könnten: F-Secure Router Checker prüft, ob DNS-Hijacking vorliegt, und das WhiteHat Security Tool überwacht DNS-Hijackings.
Jetzt lesen: Was ist DNS-Hijacking??
Anmerkungen und Kommentare sind willkommen.