Envenenamento e falsificação de cache DNS - O que é?

DNS significa Domain Name System , e isso ajuda um navegador a descobrir o endereço IP de um site para que ele possa carregá-lo em seu computador. O cache DNS(DNS cache) é um arquivo no seu computador ou no computador do seu ISP que contém uma lista de endereços IP de sites usados ​​regularmente. Este artigo explica o que é envenenamento de cache DNS e falsificação(DNS) de DNS .

Intoxicação de cache DNS

Toda vez que um usuário digita a URL de um site em seu navegador, o navegador entra em contato com um arquivo local ( DNS Cache ) para ver se há uma entrada para resolver o endereço IP do site. O navegador precisa do endereço IP dos sites para que possa se conectar ao site. Ele não pode simplesmente usar o URL para se conectar diretamente ao site. Ele deve ser resolvido em um endereço IP IPv4 ou IPv6 adequado . Se o registro estiver lá, o navegador da web o usará; caso contrário, ele irá para um servidor DNS para obter o endereço IP. Isso é chamado de pesquisa de DNS(DNS lookup) .

Um cache DNS é criado no seu computador ou no computador do servidor DNS do seu ISP para que o tempo gasto na consulta do DNS de um URL seja reduzido. Basicamente(Basically) , os caches DNS são pequenos arquivos que contêm o endereço IP de diferentes sites que são usados ​​com frequência em um computador ou rede. Antes de entrar em contato com os servidores DNS , os computadores em uma rede entram em contato com o servidor local para verificar se há uma entrada no cache DNS . Se houver um, os computadores o usarão; caso contrário, o servidor entrará em contato com um servidor DNS e buscará o endereço IP. Em seguida, ele atualizará o DNS local(DNS)cache com o endereço IP mais recente do site.

Cada entrada em um cache DNS tem um limite de tempo definido, dependendo dos sistemas operacionais e da precisão das resoluções DNS . Após o período expirar, o computador ou servidor que contém o cache DNS entrará em contato com o servidor DNS e atualizará a entrada para que as informações estejam corretas.
No entanto, existem pessoas que podem envenenar o cache DNS para atividades criminosas.

Envenenar o cache(Poisoning the cache) significa alterar os valores reais das URLs . Por exemplo, os cibercriminosos podem criar um site parecido com xyz.com e inserir seu registro DNS em seu cache DNS . Assim, quando você digita xyz.com na barra de endereços do navegador, este último pegará o endereço IP do site falso e o levará até lá, em vez do site real. Isso é chamado de Pharming . Usando esse método, os cibercriminosos podem roubar suas credenciais de login e outras informações, como detalhes do cartão, números de segurança social, números de telefone e muito mais, para roubo de identidade(identity theft) . DNSenvenenamento também é feito para injetar malware em seu computador ou rede. Quando você acessa um site falso usando um cache DNS envenenado , os criminosos podem fazer o que quiserem.

Às vezes, em vez do cache local, os criminosos também podem configurar servidores DNS falsos para que, quando consultados, possam fornecer endereços IP falsos. Isso é envenenamento de DNS de alto nível e corrompe a maioria dos caches de DNS em uma área específica, afetando muito mais usuários.

Leia sobre(Read about) : ​​Comodo Secure DNS | OpenDNS | DNS público do Google(Google Public DNS) | DNS Seguro Yandex(Yandex Secure DNS) | Anjo DNS.

Falsificação de cache DNS

Envenenamento e falsificação de cache DNS

DNS spoofing is a type of attack that involves impersonation of DNS server responses in order to introduce false information. In a spoofing attack, a malicious user attempts to guess that a DNS client or server has sent a DNS query and is waiting for a DNS response. A successful spoofing attack will insert a fake DNS response into the DNS server’s cache, a process known as cache poisoning. A spoofed DNS server has no way of verifying that DNS data is authentic, and will reply from its cache using the fake information.

O DNS Cache Spoofing(DNS Cache Spoofing) é semelhante ao DNS Cache Poisoning , mas há uma pequena diferença. O DNS Cache Spoofing(DNS Cache Spoofing) é um conjunto de métodos usados ​​para envenenar um cache DNS . Isso pode ser uma entrada forçada no servidor de uma rede de computadores para modificar e manipular o cache DNC . Isso pode estar configurando um servidor DNS falso para que respostas falsas sejam enviadas quando consultadas. Há muitas maneiras de envenenar um cache DNS , e uma das maneiras mais comuns é o (DNS)DNS Cache Spoofing .

Leia(Read) : Como descobrir se as configurações de DNS do seu computador foram comprometidas usando ipconfig.

Envenenamento de Cache DNS – Prevenção

Não há muitos métodos disponíveis para evitar o envenenamento do cache DNS . (DNS Cache)O melhor método é escalar seus sistemas de segurança(scale up your security systems) para que nenhum invasor possa comprometer sua rede e manipular o cache DNS local. (DNS)Use um bom firewall(good firewall) que possa detectar ataques de envenenamento de cache DNS . Limpar o cache DNS(Clearing the DNS cache)(Clearing the DNS cache) com frequência também é uma opção que alguns de vocês podem considerar.

Além de aumentar os sistemas de segurança, os administradores devem atualizar seu firmware e software(update their firmware and software) para manter os sistemas de segurança atualizados. Os sistemas operacionais devem ser corrigidos com as atualizações mais recentes. Não deve haver nenhum link de saída de terceiros. O servidor deve ser a única interface entre a rede e a Internet e deve estar protegido por um bom firewall.

As relações de confiança dos servidores(trust relations of servers) na rede devem ser aumentadas para que eles não solicitem resoluções de DNS a qualquer servidor. (DNS)Dessa forma, apenas os servidores com certificados genuínos poderão se comunicar com o servidor de rede enquanto resolvem os servidores DNS .

O período(period) de cada entrada no cache DNS deve ser curto para que os registros (DNS)DNS sejam buscados com mais frequência e atualizados. Isso pode significar períodos mais longos de conexão com sites (às vezes), mas reduzirá as chances de usar um cache envenenado.

O bloqueio de cache DNS(DNS Cache Locking) deve ser configurado para 90% ou mais em seu sistema Windows . O bloqueio de cache no (Cache)Windows Server permite controlar se as informações no cache DNS podem ou não ser substituídas. Consulte TechNet para saber mais sobre isso.

Use o pool de soquetes DNS(DNS Socket Pool) , pois ele permite que um servidor DNS use a randomização da porta de origem ao emitir consultas DNS . Isso fornece segurança aprimorada contra ataques de envenenamento de cache, diz o TechNet .

Extensões de Segurança do Sistema de Nomes de Domínio (DNSSEC)(Domain Name System Security Extensions (DNSSEC)) é um conjunto de extensões para o Windows Server(Windows Server) que adiciona segurança ao protocolo DNS . Você pode ler mais sobre isso aqui(here) .

Existem duas ferramentas que podem lhe interessar(There are two tools that may interest you) : o F-Secure Router Checker verificará se há seqüestro de DNS e o WhiteHat Security Tool monitora seqüestros de DNS.

Agora leia: (Now read:) O que é sequestro de DNS(What is DNS Hijacking) ?

Observações e comentários são bem-vindos.(Observation and comments are welcome.)



Máximo Maia

About the author

Sou engenheiro de software e tenho experiência com o Microsoft Office e o navegador Chrome. Tenho conhecimento em muitos aspectos do desenvolvimento web, incluindo, mas não limitado a: HTML, CSS, JavaScript, jQuery e React. Meu interesse em trabalhar com tecnologia também significa que estou familiarizado com várias plataformas (Windows, Mac, iOS) e entendo como elas funcionam.


Related posts