Homepage » Sicurezza » Avvelenamento e spoofing della cache DNS

    Avvelenamento e spoofing della cache DNS

    DNS sta per Domain Name System, e questo aiuta un browser a capire l'indirizzo IP di un sito Web in modo che possa caricarlo sul tuo computer. Cache DNS è un file sul computer dell'utente o del tuo ISP che contiene un elenco di indirizzi IP di siti Web regolarmente utilizzati. Questo articolo spiega cos'è l'avvelenamento della cache DNS e lo spoofing del DNS.

    Avvelenamento da cache DNS

    Ogni volta che un utente digita un URL del sito Web nel proprio browser, il browser contatta un file locale (cache DNS) per verificare se esiste una voce per risolvere l'indirizzo IP del sito Web. Il browser richiede l'indirizzo IP dei siti Web in modo che possa connettersi al sito Web. Non può semplicemente usare l'URL per connettersi direttamente al sito web. Deve essere risolto in un indirizzo IP IPv4 o IPv6 corretto. Se il record è presente, il browser Web lo utilizzerà; altrimenti andrà a un server DNS per ottenere l'indirizzo IP. Questo è chiamato come ricerca DNS.

    Una cache DNS viene creata sul computer o sul computer server DNS dell'ISP, in modo da ridurre la quantità di tempo speso per l'interrogazione del DNS di un URL. Fondamentalmente, le cache DNS sono piccoli file che contengono l'indirizzo IP di diversi siti Web che vengono spesso utilizzati su un computer o una rete. Prima di contattare i server DNS, i computer su una rete contattano il server locale per vedere se c'è qualche voce nella cache DNS. Se ce n'è uno, i computer lo useranno; altrimenti il ​​server contatterà un server DNS e recupererà l'indirizzo IP. Quindi aggiornerà la cache DNS locale con l'ultimo indirizzo IP per il sito web.

    Ogni voce in una cache DNS ha un limite di tempo, a seconda dei sistemi operativi e della precisione delle risoluzioni DNS. Al termine del periodo, il computer o il server che contiene la cache DNS contatterà il server DNS e aggiornerà la voce in modo che le informazioni siano corrette.
    Tuttavia, ci sono persone che possono avvelenare la cache DNS per attività criminali.

    Avvelenando la cache significa cambiare i valori reali degli URL. Ad esempio, i criminali informatici possono creare un sito Web che sembra dire, xyz.com e inserisci il suo record DNS nella tua cache DNS. Quindi, quando digiti xyz.com nella barra degli indirizzi del browser, quest'ultimo prenderà l'indirizzo IP del sito web falso e ti porterà lì, invece del vero sito web. Questo è chiamato Pharming. Utilizzando questo metodo, i criminali informatici possono scovare le credenziali di accesso e altre informazioni come i dettagli della carta, il numero di previdenza sociale, i numeri di telefono e altro per il furto di identità. L'avvelenamento del DNS viene fatto anche per iniettare malware nel tuo computer o nella tua rete. Una volta che ti trovi su un sito web fasullo usando una cache DNS avvelenata, i criminali possono fare tutto ciò che vogliono.

    A volte, invece della cache locale, i criminali possono anche configurare server DNS falsi in modo che, quando interrogati, possano fornire indirizzi IP falsi. Questo è un avvelenamento DNS di alto livello e corrompe la maggior parte delle cache DNS in una particolare area interessando così molti più utenti.

    Leggi di: Comodo Secure DNS | OpenDNS | Google Public DNS | Yandex Secure DNS | Angel DNS.

    DNS Cache Spoofing

    Lo spoofing del DNS è un tipo di attacco che implica la rappresentazione delle risposte del server DNS al fine di introdurre informazioni false. In un attacco di spoofing, un utente malintenzionato tenta di indovinare che un client o server DNS ha inviato una query DNS e sta aspettando una risposta DNS. Un attacco spoofing efficace inserirà una risposta DNS falsa nella cache del server DNS, un processo noto come avvelenamento della cache. Un server DNS contraffatto non ha modo di verificare che i dati DNS siano autentici e risponderà dalla sua cache utilizzando le informazioni false.

    DNS Cache Lo spoofing suona come l'avvelenamento da cache DNS, ma c'è una piccola differenza. DNS Cache Spoofing è un insieme di metodi usati per avvelenare una cache DNS. Questo potrebbe essere un accesso forzato al server di una rete di computer per modificare e manipolare la cache DNC. Questo potrebbe essere la creazione di un server DNS falso in modo che vengano inviate risposte false quando interrogate. Esistono molti modi per avvelenare una cache DNS e uno dei metodi più comuni è DNS Cache Spoofing.

    Leggere: Come scoprire se le impostazioni DNS del tuo computer sono state compromesse usando ipconfig.

    Avvelenamento da cache DNS - Prevenzione

    Non ci sono molti metodi disponibili per prevenire l'avvelenamento della cache DNS. Il metodo migliore è quello di aumentare i tuoi sistemi di sicurezza in modo che nessun utente malintenzionato possa compromettere la rete e manipolare la cache DNS locale. Usare un buon firewall che può rilevare attacchi di avvelenamento della cache DNS. Cancellare la cache DNS spesso è anche un'opzione che alcuni di voi potrebbero prendere in considerazione.

    A parte il ridimensionamento dei sistemi di sicurezza, gli amministratori dovrebbero aggiorna il loro firmware e software per mantenere i sistemi di sicurezza attuali. I sistemi operativi dovrebbero essere aggiornati con gli ultimi aggiornamenti. Non ci dovrebbero essere collegamenti in uscita di terze parti. Il server dovrebbe essere l'unica interfaccia tra la rete e Internet e dovrebbe essere protetto da un buon firewall.

    Il relazioni di fiducia dei server nella rete dovrebbe essere spostato più in alto in modo che non chiedono solo un server per le risoluzioni DNS. In questo modo, solo i server con certificati autentici sarebbero in grado di comunicare con il server di rete durante la risoluzione dei server DNS.

    Il periodo di ogni voce nella cache DNS dovrebbe essere breve in modo che i record DNS vengano recuperati più frequentemente e aggiornati. Ciò potrebbe significare tempi più lunghi di connessione a siti Web (a volte), ma ridurranno le possibilità di utilizzare una cache avvelenata.

    DNS Cache Locking dovrebbe essere configurato al 90% o superiore sul tuo sistema Windows. Il blocco della cache in Windows Server consente di controllare se le informazioni nella cache DNS possono essere sovrascritte. Vedi TechNet per maggiori informazioni.

    Utilizzare il Pool di socket DNS in quanto consente a un server DNS di utilizzare la casualizzazione della porta di origine durante l'emissione di query DNS. Ciò fornisce una maggiore sicurezza contro gli attacchi di avvelenamento della cache, afferma TechNet.

    Domain Security System Extensions (DNSSEC) è una suite di estensioni per Windows Server che aggiunge sicurezza al protocollo DNS. Puoi leggere di più su questo qui.

    Ci sono due strumenti che potrebbero interessarti: F-Secure Router Checker controlla il dirottamento DNS e WhiteHat Security Tool controlla i dirottamenti DNS.

    Ora leggi: Che cos'è il dirottamento DNS?

    Osservazione e commenti sono i benvenuti.