DNS sta per Domain Name System, e questo aiuta un browser a capire l'indirizzo IP di un sito Web in modo che possa caricarlo sul tuo computer. Cache DNS è un file sul computer dell'utente o del tuo ISP che contiene un elenco di indirizzi IP di siti Web regolarmente utilizzati. Questo articolo spiega cos'è l'avvelenamento della cache DNS e lo spoofing del DNS.
Avvelenamento da cache DNS
Ogni volta che un utente digita un URL del sito Web nel proprio browser, il browser contatta un file locale (cache DNS) per verificare se esiste una voce per risolvere l'indirizzo IP del sito Web. Il browser richiede l'indirizzo IP dei siti Web in modo che possa connettersi al sito Web. Non può semplicemente usare l'URL per connettersi direttamente al sito web. Deve essere risolto in un corretto indirizzo IP IPv4 o IPv6. Se il record è presente, il browser Web lo utilizzerà; altrimenti andrà a un server DNS per ottenere l'indirizzo IP. Questo è chiamato come ricerca DNS.
Una cache DNS viene creata sul computer o sul computer server DNS dell'ISP in modo da ridurre la quantità di tempo speso per interrogare il DNS di un URL. Fondamentalmente, le cache DNS sono piccoli file che contengono l'indirizzo IP di diversi siti Web che vengono spesso utilizzati su un computer o una rete. Prima di contattare i server DNS, i computer su una rete contattano il server locale per vedere se c'è qualche voce nella cache DNS. Se ce n'è uno, i computer lo useranno; altrimenti il server contatterà un server DNS e recupererà l'indirizzo IP. Quindi aggiornerà la cache DNS locale con l'ultimo indirizzo IP per il sito web.
Ogni voce in una cache DNS ha un limite di tempo, a seconda dei sistemi operativi e della precisione delle risoluzioni DNS. Al termine del periodo, il computer o il server che contiene la cache DNS contatterà il server DNS e aggiornerà la voce in modo che le informazioni siano corrette. Tuttavia, ci sono persone che possono avvelenare la cache DNS per attività criminali.
Avvelenando la cache significa cambiare i valori reali degli URL. Ad esempio, i criminali informatici possono creare un sito Web che sembra dire, xyz.com e inserisci il suo record DNS nella tua cache DNS. Quindi, quando digiti xyz.com nella barra degli indirizzi del browser, quest'ultimo prenderà l'indirizzo IP del sito web falso e ti porterà lì, invece del vero sito web. Questo è chiamato Pharming. Utilizzando questo metodo, i criminali informatici possono scovare le credenziali di accesso e altre informazioni come i dettagli delle carte, il numero di previdenza sociale, i numeri di telefono e altro per il furto di identità. L'avvelenamento del DNS viene fatto anche per iniettare malware nel computer o nella rete. Una volta che ti trovi su un sito web fasullo usando una cache DNS avvelenata, i criminali possono fare tutto ciò che vogliono.
A volte, invece della cache locale, i criminali possono anche configurare server DNS falsi in modo che, quando interrogati, possano fornire indirizzi IP falsi. Questo è un avvelenamento DNS di alto livello e corrompe la maggior parte delle cache DNS in una particolare area interessando così molti più utenti.
Leggi di: Comodo Secure DNS | OpenDNS | Google Public DNS | Yandex Secure DNS | Angel DNS.
DNS Cache Spoofing
DNS spoofing is a type of attack that involves impersonation of DNS server responses in order to introduce false information. In a spoofing attack, a malicious user attempts to guess that a DNS client or server has sent a DNS query and is waiting for a DNS response. A successful spoofing attack will insert a fake DNS response into the DNS server’s cache, a process known as cache poisoning. A spoofed DNS server has no way of verifying that DNS data is authentic, and will reply from its cache using the fake information.
DNS Cache Lo spoofing suona come l'avvelenamento da cache DNS, ma c'è una piccola differenza. DNS Cache Spoofing è un insieme di metodi usati per avvelenare una cache DNS. Questo potrebbe essere un accesso forzato al server di una rete di computer per modificare e manipolare la cache DNC. Questo potrebbe essere la creazione di un server DNS falso in modo che vengano inviate risposte false quando interrogate. Esistono molti modi per avvelenare una cache DNS e uno dei metodi più comuni è DNS Cache Spoofing.
Leggere: Come scoprire se le impostazioni DNS del tuo computer sono state compromesse usando ipconfig.
Avvelenamento da cache DNS - Prevenzione
Non ci sono molti metodi disponibili per prevenire l'avvelenamento della cache DNS. Il metodo migliore è quello di aumentare i tuoi sistemi di sicurezza in modo che nessun utente malintenzionato possa compromettere la rete e manipolare la cache DNS locale. Usare un buon firewall che può rilevare attacchi di avvelenamento della cache DNS. Cancellare la cache DNS spesso è anche un'opzione che alcuni di voi potrebbero prendere in considerazione.
A parte il ridimensionamento dei sistemi di sicurezza, gli amministratori dovrebbero aggiorna il loro firmware e software per mantenere i sistemi di sicurezza attuali. I sistemi operativi dovrebbero essere aggiornati con gli ultimi aggiornamenti. Non ci dovrebbero essere collegamenti in uscita di terze parti. Il server dovrebbe essere l'unica interfaccia tra la rete e Internet e dovrebbe essere protetto da un buon firewall.
Il relazioni di fiducia dei server nella rete dovrebbe essere spostato più in alto in modo che non chiedono solo un server per le risoluzioni DNS. In questo modo, solo i server con certificati autentici sarebbero in grado di comunicare con il server di rete durante la risoluzione dei server DNS.
Il periodo di ogni voce nella cache DNS dovrebbe essere breve in modo che i record DNS vengano recuperati più frequentemente e aggiornati. Ciò potrebbe significare tempi più lunghi di connessione a siti Web (a volte), ma ridurranno le possibilità di utilizzare una cache avvelenata.
DNS Cache Locking dovrebbe essere configurato al 90% o superiore sul tuo sistema Windows. Il blocco della cache in Windows Server consente di controllare se le informazioni nella cache DNS possono essere sovrascritte. Vedi TechNet per maggiori informazioni.
Utilizzare il Pool di socket DNS in quanto consente a un server DNS di utilizzare la casualizzazione della porta sorgente durante l'emissione di query DNS. Ciò fornisce una maggiore sicurezza contro gli attacchi di avvelenamento della cache, afferma TechNet.
Domain Security System Extensions (DNSSEC) è una suite di estensioni per Windows Server che aggiunge sicurezza al protocollo DNS. Puoi leggere di più su questo qui.
Ci sono due strumenti che potrebbero interessarti: F-Secure Router Checker controlla il dirottamento DNS e WhiteHat Security Tool controlla i dirottamenti DNS.
Ora leggi: Cos'è il dirottamento DNS?
Osservazione e commenti sono benvenuti.
Articoli correlati:
- Che cos'è un attacco di dirottamento DNS e come prevenirlo
- Ottimizza la tua connessione Internet per la velocità con il benchmark DNS
- Comprendere la ricerca DNS: una guida 101 al DNS
- Recensione DNS Yandex: più veloce, più sicuro Internet con i controlli
- Che cos'è una perdita DNS e come arrestare la perdita DNS
