Avvelenamento da cache DNS e spoofing

DNS sta per Domain Name System, e questo aiuta un browser a capire l`indirizzo IP di un sito Web in modo che possa caricarlo sul tuo computer. La cache DNS è un file sul computer dell`utente o del tuo ISP che contiene un elenco di indirizzi IP dei siti Web regolarmente utilizzati. Questo articolo spiega cos`è l`avvelenamento della cache DNS e lo spoofing del DNS.

Avvelenamento della cache DNS

Ogni volta che un utente digita un URL del sito web nel proprio browser, il browser contatta un file locale (DNS Cache) per vedere se c`è qualsiasi voce per risolvere l`indirizzo IP del sito web. Il browser richiede l`indirizzo IP dei siti Web in modo che possa connettersi al sito Web. Non può semplicemente usare l`URL per connettersi direttamente al sito web. Deve essere risolto in un corretto indirizzo IP IPv4 o IPv6. Se il record è presente, il browser Web lo utilizzerà; altrimenti andrà a un server DNS per ottenere l`indirizzo IP. Questa operazione viene chiamata ricerca DNS.

Viene creata una cache DNS sul computer o sul computer server DNS dell`ISP, in modo da ridurre la quantità di tempo speso per l`interrogazione del DNS di un URL. Fondamentalmente, le cache DNS sono piccoli file che contengono l`indirizzo IP di diversi siti Web che vengono spesso utilizzati su un computer o una rete. Prima di contattare i server DNS, i computer su una rete contattano il server locale per vedere se c`è qualche voce nella cache DNS. Se ce n`è uno, i computer lo useranno; altrimenti il ​​server contatterà un server DNS e recupererà l`indirizzo IP. Quindi aggiornerà la cache DNS locale con l`indirizzo IP più recente per il sito Web.

Ogni voce in una cache DNS ha un limite di tempo, a seconda dei sistemi operativi e della precisione delle risoluzioni DNS. Al termine del periodo, il computer o il server che contiene la cache DNS contatterà il server DNS e aggiornerà la voce in modo che le informazioni siano corrette.

Tuttavia, ci sono persone che possono avvelenare la cache DNS per attività criminali.

Avvelenare la cache significa cambiare i valori reali degli URL. Ad esempio, i criminali informatici possono creare un sito Web che assomiglia, xyz.com e inserire il proprio record DNS nella cache DNS. Pertanto, quando si digita xyz.com nella barra degli indirizzi del browser, quest`ultimo prenderà l`indirizzo IP del sito Web falso e vi porterà lì, invece del sito Web reale. Questo è chiamato Pharming. Utilizzando questo metodo, i criminali informatici possono scovare le credenziali di accesso e altre informazioni come i dettagli delle carte, il numero di previdenza sociale, i numeri di telefono e altro per il furto di identità. l`avvelenamento del DNS viene fatto anche per iniettare malware nel computer o nella rete. Una volta che ti trovi su un sito web fasullo usando una cache DNS avvelenata, i criminali possono fare tutto ciò che vogliono.

A volte, invece della cache locale, i criminali possono anche configurare server DNS falsi in modo che, quando interrogati, possano dare false Indirizzi IP Questo è un avvelenamento DNS di alto livello e corrompe la maggior parte delle cache DNS in una particolare area interessando così molti più utenti.

Leggi : Comodo Secure DNS | OpenDNS | Google Public DNS | Yandex Secure DNS | Angel DNS.

DNS Cache Spoofing

Lo spoofing del DNS è un tipo di attacco che implica la rappresentazione delle risposte del server DNS al fine di introdurre informazioni false. In un attacco di spoofing, un utente malintenzionato tenta di indovinare che un client o server DNS ha inviato una query DNS e sta aspettando una risposta DNS. Un attacco spoofing efficace inserirà una risposta DNS falsa nella cache del server DNS, un processo noto come avvelenamento della cache. Un server DNS contraffatto non ha modo di verificare che i dati DNS siano autentici e risponderà dalla sua cache utilizzando le informazioni false.

DNS Cache Lo spoofing suona come l`avvelenamento della cache DNS, ma c`è una piccola differenza. DNS Cache Spoofing è un insieme di metodi usati per avvelenare una cache DNS. Questo potrebbe essere un accesso forzato al server di una rete di computer per modificare e manipolare la cache DNC. Questo potrebbe essere la creazione di un server DNS falso in modo che vengano inviate risposte false quando interrogate. Esistono molti modi per avvelenare una cache DNS e uno dei metodi più comuni è DNS Cache Spoofing.

Leggi : Come scoprire se le impostazioni DNS del tuo computer sono state compromesse usando ipconfig.

Avvelenamento da cache DNS - Prevenzione

Non ci sono molti metodi disponibili per prevenire l`avvelenamento della cache DNS. Il metodo migliore è scalare i sistemi di sicurezza in modo che nessun utente malintenzionato possa compromettere la rete e manipolare la cache DNS locale. Usa un buon firewall che può rilevare attacchi di avvelenamento della cache DNS. La cancellazione della cache DNS è spesso un`opzione che alcuni di voi potrebbero considerare.

Oltre a scalare i sistemi di sicurezza, amministratori dovrebbe aggiornare il firmware e il software per mantenere i sistemi di sicurezza attuali. I sistemi operativi dovrebbero essere aggiornati con gli ultimi aggiornamenti. Non ci dovrebbero essere collegamenti in uscita di terze parti. Il server dovrebbe essere l`unica interfaccia tra la rete e Internet e dovrebbe essere protetto da un buon firewall.

Le relazioni di trust dei server nella rete dovrebbero essere spostate più in alto in modo che non chiedano server per risoluzioni DNS. In questo modo, solo i server con certificati autentici sarebbero in grado di comunicare con il server di rete durante la risoluzione dei server DNS.

Il periododi ciascuna voce nella cache DNS dovrebbe essere breve in modo che i record DNS vengano recuperati di più frequentemente e sono aggiornati. Ciò potrebbe significare tempi più lunghi di connessione ai siti Web (a volte), ma ridurrà le possibilità di utilizzare una cache avvelenata.

Il blocco della cache DNS deve essere configurato al 90% o superiore sul sistema Windows. Il blocco della cache in Windows Server consente di controllare se le informazioni nella cache DNS possono essere sovrascritte. Per ulteriori informazioni, consultare TechNet.

Utilizzare il Pool di socket DNS in quanto consente a un server DNS di utilizzare la casualizzazione della porta di origine durante l`emissione di query DNS. Ciò fornisce una maggiore protezione contro gli attacchi di avvelenamento della cache, afferma TechNet.

Il DNS (DNSSEC) è una suite di estensioni per Windows Server che aggiunge sicurezza al protocollo DNS. Puoi leggere ulteriori informazioni al riguardo.

Ci sono due strumenti che potrebbero interessarti : F-Secure Router Checker controllerà il dirottamento DNS e WhiteHat Security Tool controlla i dirottamenti DNS.

Ora leggi: Che cos`è il dirottamento DNS?

Osservazione e commenti sono i benvenuti.