DNS Cache Poisoning - Computerphile
Mục lục:
DNS là viết tắt của Domain Name System, và điều này giúp trình duyệt tìm ra địa chỉ IP của một trang web để nó có thể tải nó trên máy tính của bạn. Bộ nhớ cache DNS là một tệp trên máy tính của ISP hoặc ISP của bạn có chứa danh sách địa chỉ IP của các trang web được sử dụng thường xuyên. Bài viết này giải thích tình trạng nhiễm độc bộ đệm DNS và giả mạo DNS.
Ngộ độc DNS Cache
Mỗi khi người dùng nhập URL trang web vào trình duyệt của mình, trình duyệt sẽ liên hệ với một tệp cục bộ (DNS Cache) để xem liệu có bất kỳ mục nhập nào để giải quyết địa chỉ IP của trang web. Trình duyệt cần địa chỉ IP của các trang web để nó có thể kết nối với trang web. Nó không thể chỉ sử dụng URL để kết nối trực tiếp với trang web. Nó phải được giải quyết vào một địa chỉ IP IPv4 hoặc IPv6 thích hợp. Nếu bản ghi ở đó, trình duyệt web sẽ sử dụng nó; nếu không nó sẽ đi đến một máy chủ DNS để có được địa chỉ IP. Điều này được gọi là tra cứu DNS.
Bộ đệm DNS được tạo trên máy tính hoặc máy chủ DNS của ISP của bạn để lượng thời gian dùng để truy vấn DNS của một URL bị giảm. Về cơ bản, DNS cache là các tệp nhỏ chứa địa chỉ IP của các trang web khác nhau thường được sử dụng trên máy tính hoặc mạng. Trước khi liên hệ với máy chủ DNS, máy tính trên mạng liên hệ với máy chủ cục bộ để xem có bất kỳ mục nhập nào trong bộ nhớ cache DNS hay không. Nếu có, máy tính sẽ sử dụng nó; nếu không máy chủ sẽ liên lạc với máy chủ DNS và tìm nạp địa chỉ IP. Sau đó, nó sẽ cập nhật bộ nhớ cache DNS cục bộ với địa chỉ IP mới nhất cho trang web.
Mỗi mục trong bộ đệm DNS có giới hạn thời gian, tùy thuộc vào hệ điều hành và độ chính xác của độ phân giải DNS. Sau khi hết hạn, máy tính hoặc máy chủ chứa bộ đệm DNS sẽ liên lạc với máy chủ DNS và cập nhật mục nhập để thông tin chính xác.
Tuy nhiên, có những người có thể nhiễm độc bộ đệm DNS cho hoạt động tội phạm.
Ngộ độc bộ đệm có nghĩa là thay đổi giá trị thực của các URL. Ví dụ, tội phạm mạng có thể tạo một trang web giống như nói, xyz.com và nhập bản ghi DNS của nó vào bộ đệm DNS của bạn. Do đó, khi bạn nhập xyz.com vào thanh địa chỉ của trình duyệt, địa chỉ sau sẽ nhận địa chỉ IP của trang web giả mạo và đưa bạn đến đó, thay vì trang web thực. Điều này được gọi là Pharming. Sử dụng phương pháp này, bọn tội phạm mạng có thể phát hiện thông tin xác thực đăng nhập của bạn và các thông tin khác như chi tiết thẻ, số an sinh xã hội, số điện thoại và nhiều thông tin khác để đánh cắp nhận dạng. Việc đầu độc DNS cũng được thực hiện để tiêm phần mềm độc hại vào máy tính hoặc mạng của bạn. Khi bạn truy cập vào trang web giả mạo bằng cách sử dụng bộ nhớ cache DNS bị nhiễm độc, bọn tội phạm có thể làm bất cứ điều gì họ muốn.
Đôi khi, thay vì bộ nhớ cache cục bộ, bọn tội phạm cũng có thể thiết lập máy chủ DNS giả để truy vấn. Các địa chỉ IP. Đây là mức độc hại DNS cao và làm hỏng hầu hết các DNS cache trong một khu vực cụ thể do đó ảnh hưởng đến nhiều người dùng hơn.
Đọc về : Comodo Secure DNS | OpenDNS | Google Public DNS | Yandex Secure DNS | DNS giả mạo
Giả mạo DNS Cache
Giả mạo DNS là một kiểu tấn công liên quan đến việc mạo danh các phản hồi của máy chủ DNS nhằm giới thiệu thông tin sai lệch. Trong một cuộc tấn công giả mạo, một người dùng độc hại cố gắng đoán rằng một máy khách DNS hoặc máy chủ đã gửi một truy vấn DNS và đang chờ phản hồi DNS. Một cuộc tấn công giả mạo thành công sẽ chèn một phản ứng DNS giả vào bộ nhớ cache của máy chủ DNS, một quá trình được gọi là ngộ độc bộ nhớ cache. Một máy chủ DNS giả mạo không có cách nào để xác minh rằng dữ liệu DNS là xác thực và sẽ trả lời từ bộ nhớ cache của nó bằng thông tin giả mạo.
Giả mạo DNS Cache giống như DNS Cache Poisoning, nhưng có một sự khác biệt nhỏ. DNS Cache Spoofing là một tập hợp các phương pháp được sử dụng để đầu độc một bộ nhớ cache DNS. Điều này có thể là một mục nhập buộc vào máy chủ của mạng máy tính để sửa đổi và thao tác bộ đệm DNC. Điều này có thể được thiết lập một máy chủ DNS giả để phản ứng giả mạo được gửi ra khi truy vấn. Có rất nhiều cách để đầu độc một bộ nhớ cache DNS, và một trong những cách phổ biến là DNS Cache Spoofing.
Đọc : Cách tìm hiểu xem cài đặt DNS của máy tính của bạn đã bị xâm phạm chưa bằng cách sử dụng ipconfig.
Ngắt bộ nhớ cache DNS - Ngăn chặn
Không có nhiều phương pháp để ngăn chặn sự xâm nhập DNS Cache. Phương pháp tốt nhất là mở rộng hệ thống bảo mật của bạn để không kẻ tấn công nào có thể xâm phạm mạng của bạn và thao tác bộ nhớ cache DNS cục bộ. Sử dụng tường lửa tốt có thể phát hiện các cuộc tấn công ngộ độc DNS cache Xóa bộ đệm DNS thường xuyên cũng là một tùy chọn mà bạn có thể cân nhắc.
Khác với việc tăng quy mô hệ thống bảo mật, quản trị viên nên cập nhật phần mềm và phần mềm của mình để giữ cho hệ thống bảo mật hiện tại. Hệ điều hành nên được vá với các bản cập nhật mới nhất. Không nên có bất kỳ liên kết gửi đi của bên thứ ba nào. Máy chủ phải là giao diện duy nhất giữa mạng và Internet và phải ở phía sau tường lửa tốt.
Quan hệ tin cậy của máy chủ trong mạng phải được nâng lên cao hơn để chúng không hỏi bất kỳ máy chủ cho các độ phân giải DNS. Bằng cách đó, chỉ các máy chủ có chứng chỉ chính hãng mới có thể giao tiếp với máy chủ mạng trong khi phân giải máy chủ DNS.
Khoảng thời giancủa mỗi mục trong bộ nhớ cache DNS sẽ ngắn để các bản ghi DNS được tìm nạp thêm thường xuyên và được cập nhật. Điều này có thể kéo dài thời gian kết nối tới các trang web (đôi khi) nhưng sẽ làm giảm cơ hội sử dụng bộ nhớ cache bị nhiễm độc.
Khóa bộ nhớ cache DNS phải được cấu hình đến 90% hoặc cao hơn trên hệ thống Windows của bạn. Khóa bộ nhớ cache trong Windows Server cho phép bạn kiểm soát xem thông tin trong bộ đệm DNS có bị ghi đè hay không. Xem TechNet để biết thêm về điều này.
Sử dụng DNS Socket Pool vì nó cho phép máy chủ DNS sử dụng ngẫu nhiên cổng nguồn khi phát hành các truy vấn DNS. TechNet
Phần mở rộng bảo mật hệ thống tên miền (DNSSEC) là bộ phần mở rộng cho Windows Server giúp tăng cường bảo mật cho giao thức DNS. Bạn có thể đọc thêm về điều này tại đây.
Có hai công cụ mà bạn có thể quan tâm : Trình kiểm tra bộ định tuyến F-Secure sẽ kiểm tra việc tấn công DNS và Công cụ bảo mật WhiteHat giám sát các vụ tấn công DNS.
Bây giờ đã đọc: DNS Hijacking là gì?
Quan sát và nhận xét được hoan nghênh.
Google, gần đây đã tăng cường các tuyên bố công khai ủng hộ thỏa thuận, giá sẽ vẫn công bằng vì các nhà quảng cáo trả tiền dựa trên hệ thống đấu giá. Tim Amstrong, chủ tịch của quảng cáo và thương mại của Google ở Bắc Mỹ, đã viết trong một blog post gần đây: "Google và Yahoo cũng không định giá quảng cáo. "Các quảng cáo được định giá bằng một cuộc đấu giá, nơi một nhà quảng cáo chỉ chào giá một quảng cáo đáng giá cho họ."
Google gần đây đã tung ra một trang web cho rằng lý do tại sao nó cho rằng hợp đồng sẽ tốt cho các nhà quảng cáo.
Những quảng cáo này bao gồm các quảng cáo đồ hoạ được thiết kế để trông giống như lỗi giả mạo hoặc tải xuống các tin nhắn hoặc trông giống hộp thoại Windows chính hãng. Ngoài ra còn có quảng cáo có nút hoặc cửa sổ đóng cửa sổ giả mạo thực sự đưa người dùng đến trang web thay vì đóng cửa sổ hoặc tạo một menu kéo xuống. Direct Media Exchange cũng phân loại các quảng cáo lừa đảo theo ngôn ngữ, cho phép các nhà xuất bản loại bỏ những đề nghị "lừa đảo hoặc cung cấp nghi ngờ" hoặc "miễn
Theo dữ liệu trên trang Web Direct Media Exchange, do Dịch vụ Thông tin IDG xem, quảng cáo "Tự do và không tiết lộ ngôn ngữ" có thể chiếm gần 18% khoảng không quảng cáo của Right Media vào những thời điểm nhất định.
Người giả mạo phần mềm bị giả mạo
Hai người đàn ông Mỹ bị truy tố về các cáo buộc liên quan đến hàng giả phần mềm.