Hvað er DNS-eitrun?

DNS-eitrun, einnig kölluð DNS-skopstæling, er tegund netöryggisspennu þar sem gögn lénskerfisins eru skemmd. Rangar upplýsingar eru settar í skyndiminni á DNS-lausnarmanninum, sem veldur því að DNS-netþjóninn skilar slæmum gögnum. Þetta leiðir til þess að umferð er sveigð frá tilætluðum ákvörðunarstað.

DNS-eitrun árás er venjulega gerð með slóðum sem sendar eru með ruslpósti. Þessir tölvupóstar vilja töfra notendur til að smella á slóðina sem berast.

Hvernig DNS virkar

DNS netþjónn þýðir lén eða slóð eins og google.com yfir á IP-tölu sem vélar nota til að koma á tengingum.

Til að auka frammistöðu miðlarans skyndir það þýðinguna skyndilega í nokkurn tíma. Ef beiðni berst um þegar vistaða þýðingu verður svarið gefið án þess að spyrja netþjóninn.

Þegar rangar þýðingar berast og skyndiminni af DNS verður það fyrir eitrun. Það sendir síðan rangar upplýsingar til viðskiptavinarins.

DNS skyndiminni

Netið er ekki bara með einn DNS-netþjón þar sem það væri mjög óhagkvæmt. Internetþjónustufyrirtæki (ISP) reka sína eigin DNS netþjóna, sem afritar upplýsingar frá öðrum traustum DNS netþjónum.

Heimilisstjórinn þinn þjónar einnig sem DNS netþjónn, sem vistar upplýsingar frá ISP þinni’DNS netþjónum. Kerfið þitt er með staðbundna DNS skyndiminni svo að það getur vísað fljótt til DNS-fletta sem það hefur þegar framkvæmt í stað þess að framkvæma nýtt DNS-leit í hvert skipti.

Lestu meira um hvað er DNS skyndiminni og hvernig virkar það

DNS skyndiminni eitrun

Hugsanlegt er að DNS skyndiminni sé eitrað þegar það inniheldur ranga skyndiminni. Til dæmis þegar árásarmaður stelur stjórn á DNS-netþjóni og gerir breytingar á nokkrum upplýsingum um hann.

Látum’segjast láta google.com í raun benda á annað IP tölu í eigu árásarmannsins. Sá DNS netþjónn myndi láta notendur sína leita að google.com á röngum heimilisfangi. Árásarmaðurinn’s IP-tala gæti verið fyrir einhverja illgjarn vefveiðar sem getur skaðað kerfið þitt.

Þessi tegund af DNS-eitrun er einnig mjög smitandi. Til dæmis, ef margir þjónustuaðilar fá sömu spilla DNS-upplýsingar frá þessum málamiðlaða netþjóni, getur eitrað DNS-færslan breiðst alveg út fyrir þessa netþjónustuaðila og fengið skyndiminni þar.

Þessar málamiðlun DNS upplýsingar munu síðan dreifast til ýmissa heimbeina og DNS netþjóninn mun þá skyndiminni á tölvur þegar þeir reyna að leita að DNS færslunni. Þeir munu fá röng svör og vista þau á kerfinu.

Hvernig DNS-eitrun virkar

DNS skyndiminni eitrun er gerð með kóðanum sem venjulega er að finna í vefslóðum sem sendar eru í gegnum ruslpóst. Þessir tölvupóstar reyna að ganga úr skugga um að notendur smelli á slóðina sem berast, sem mun örugglega hafa áhrif á tölvur þeirra.

Myndir og borðaauglýsingar sem finnast í ruslpósti og ósannfærandi vefsíðum er einnig hægt að nota til að beina notendum að þessum kóða. Þegar tölvan er eitruð mun það taka notendur að falsa vefsíður sem eru skopaðar til að líta út eins og raunverulegur hlutur. Þetta veldur þeim mismunandi áhættu eins og keyloggers, spyware eða orma.

DNS-skyndiminni eitrun árás

Venjulega afla þjónustuveitenda eða notendasamtaka DNS netþjóna til nettölva. Til að auka viðbrögð við upplausn nota netkerfi flutningsmiðstöðva DNS netþjóna til að afla áður fenginna upplýsinga. Notendur sem eru hýstir af netþjónum í hættu verða fyrir áhrifum þegar eitt DNS er eitrað.

Áður en hægt er að gera DNS-eitrunarárás verður að vera skotgat í DNS-forritinu. Miðlarinn verður að staðfesta að DNS-svör fást frá ekta uppruna vegna þess að netþjónninn getur skyndað skyndilegar færslur á staðnum og gefið þeim notendum sem lögðu fram nákvæma beiðni.

Dæmi er þegar árásarmaður skopar IP-vistfang fyrir tiltekna vefsíðu og breytir henni í nýtt IP-tölu sem þeir stjórna. Þess vegna býr árásarmaðurinn skjöl á netþjóni sem þeir stjórna með svipuðum nöfnum og viðkomandi netþjóni.

Skrárnar sem eru búnar til innihalda að mestu leyti skaðlegt innihald, svo sem tölvuvírusa eða orma. Sérhver notandi þar sem kerfið hefur notað DNS-netþjóninn getur verið blekkt til að samþykkja málamiðlunina sem kemur frá ósvikna netþjóninum og hlaðið niður skaðlegu innihaldinu fyrir slysni.

DNS eitrunaráhætta

DNS-eitrun veldur mörgum áhættu. Það er auðvelt að spilla IP tölum banka og smásöluvefja. Þetta þýðir að auðvelt er að stela viðkvæmum upplýsingum eins og kreditkortaupplýsingum, lykilorðum og svo framvegis. Ef ISP síður eru skopaðir, notandi’s tölva getur orðið í hættu.

Að lokum, það er erfitt að útrýma DNS skyndiminni eitrun, þar sem hreinn hreinsun á sýktum netþjóni fjarlægir ekki vandamálið og hreint kerfi sem tengist við hættulegan netþjón verður örugglega í hættu aftur. Að skola DNS skyndiminni þinn getur leyst þetta mál.

Að koma í veg fyrir DNS-eitrun

Til að byrja með, til að koma í veg fyrir DNS-eitrun, þá þurfa IT-starfsmenn að stilla DNS netþjóna til að treysta á traust tengsl við aðra DNS netþjóna eins lítið og mögulegt er. Að draga úr traustatengslum milli netþjóna gerir árásarmönnum mjög erfitt með að nota eigin DNS netþjóna til að eitra miðaða netþjóna.

Aðrar en að takmarka traust tengsl milli DNS netþjóna, starfsmenn upplýsingatækni þurfa að tryggja að nýjasta DNS útgáfan sé notuð. DNS’ sem nota BIND útgáfu 9.5.0 eða nýrri fela í sér aðgerðir eins og dulritað dulkóðuð viðskiptaskilríki og handahófi af handahófi.

Dulritað dulkóðuð auðkenni viðskipta og handahófi af handahófi hjálpa til við að koma í veg fyrir árásir á DNS-eitrun. Til að koma í veg frekar fyrir árásum á DNS-eitrun þurfa starfsmenn upplýsingatækni að stilla DNS netþjóna sína til að takmarka endurkvæma fyrirspurnir og geyma aðeins gögn sem tengjast umbeðnu léninu..

Þeir ættu einnig að takmarka svör við fyrirspurnum til að veita aðeins upplýsingar um umbeðið lén. Viðhalda þarf DNS-netþjóninum til að ganga úr skugga um að þjónusta sem ekki er þörf á sé fjarlægð. Til að koma í veg fyrir enn frekar DNS-eitrun geta starfsmenn upplýsingatækni innleitt DNSSEC tækni á DNS netþjóninum.

DNSSEC

DNSSEC var búið til fyrir skyndiminningar í skyndiminni sem þjóna forritunum og til að vernda forrit frá því að nota meðhöndluð eða fölsuð DNS-gögn, eins og þau sem búin voru til með DNS skyndiminni eitrun. Öll svör frá DNSSEC verndarsvæðum eru undirrituð stafrænt.

Með því að skoða stafrænu undirskriftina mun DNS-lausnarmaður geta séð hvort upplýsingarnar sem eru veittar eru eins – það er óbreytta og heill – upplýsingarnar sem eigandi svæðisins veitir og dreift á opinberum netþjón. Vernd IP-tölu er aðal áhyggjuefni margra notenda.

DNSSEC getur verndað öll gögn sem birt eru á DNS netþjóninum, þar með talin textaskrár (TXT) og póststöðuskipti (MX). Hægt er að nota DNSSEC til að sameina önnur öryggiskerfi sem veita endurgjöf um dulmálsvottorð sem eru geymd í DNS eins og vottorðsgögn, IPSec opinbera lykla, SSH fingraför og TLS Trust akkeri.

DNSSEC veitir ekki trúnað gagnanna. Til að vera nákvæmir eru ekki öll DNSSEC svörin dulkóðuð en þau eru staðfest. DNSSEC gerir það ekki’t verndar beint gegn árásum á DoS, þó það hafi nokkra óbeina ávinning.

Aðferð DNS við DNSSEC

Úr niðurstöðum úr DNS-leit, með öryggisvitund DNS-lausnara, getur ráðist hvort viðurkenndur nafnamiðlari fyrir það lén styður DNSSEC, hvort svarið sé öruggt og hvort um sé að ræða einhvers konar villu. Aðferðin er mismunandi fyrir endurtekna nafn netþjóna eins og ISP nafn netþjóna og fyrir stubbupplausn eins og þá sem eru sjálfgefnir samþættir í almennu stýrikerfum (eins og Windows stubb lausnara). Microsoft Windows notar stubba lausnara og Windows 7 notar ekki staðfesta – en DNSSEC-kunnugt – stubba lausnara sérstaklega.

Dulritunarfræðilega, til að vita hvort lén er ekki til þarf að merkja svarið við hverri fyrirspurn um lén sem ekki er til. Þó þetta sé ekki mál fyrir netaáritun netþjóna, sem lyklar eru fáanlegir á netinu.

Þar að auki var DNSSEC búið til til að nota tölvur án nettengingar til að undirrita skrár svo hægt sé að geyma undirritunarlykla á frystigeymslu. Þetta getur skapað vandamál þegar reynt er að sannvotta svör.

Til að spyrja um lén, sem ekki er til, er ekki mögulegt að búa til svar fyrir hverja mögulega fyrirspurn um hýsingarheiti. Fyrsta lausnin á þessu máli var að hanna NSEC skrár fyrir öll pör af léni á tilteknu svæði.

Þess vegna, ef viðskiptavinur biður um skrá sem er engin eins og k.example.com, myndi þjónninn svara með NSEC skrá sem segir að ekkert sé til meðal a.example.com og z.example.com. Hins vegar lekur þessi tækni meiri upplýsingar um svæðið en hefðbundnar, óstaðfestar NXDOMAIN villur þar sem hún sýnir raunverulegt lén tilvist.

Forvarnir og mótvægisaðgerðir gegn eitrun DNS

Auðvelt er að koma í veg fyrir margar DNS-eitrunarárásir með því að draga úr trausti á þeim upplýsingum sem berast frá ytri DNS netþjónum.

Önnur aðferð er að hunsa DNS-færslur sem berast og eiga ekki mjög við um fyrirspurnina. Einnig er hægt að draga úr DNS-eitrunarárásum á umsóknarlagið eða flutningslagið þegar staðfesting punktar til punktar er framkvæmd á kerfunum þegar tengingunni hefur verið komið á. Dæmigert dæmi um þessa tegund málsmeðferðar er notkun stafrænna undirskrifta og flutningslagöryggi (TLS).

Til dæmis, með því að nota öruggu HTTP útgáfu sem er HTTP, geta notendur athugað hvort stafræna vottorðið á netþjóninum sé rétt og að það tilheyri vefsíðunni’senndur eigandi.

Sömuleiðis, fjartengingarforritið, sem er kallað örugg skel (SSH), skoðar á endapunktum stafrænu skilríkin áður en það heldur áfram með stafsetninguna.

Fyrir hugbúnað sem halar niður uppfærslur sjálfkrafa getur hugbúnaðurinn falið í sér afrit af undirrituðu vottorðinu og sannvottað undirskriftina sem er geymd í forritsuppfærslunni með því sem skilríkið er innbyggt.

Kjarni málsins

Þar sem við erum öll að fara í stafræna stöðu stafar DNS-eitrun mjög mikil ógn við upplýsingar okkar og daglegar athafnir. DNS-eitrun hefur veitt árásarmönnum möguleika á að skerða lítillega kerfi án þess að hafa líkamlegan aðgang að því kerfi.

Það er mjög mikilvægt að koma í veg fyrir DNS-eitrun og skyndimyndareitrun, þess vegna þurfa stjórnendur að nota minna traust nálgun gagnvart öðrum netþjónum.

Þeir þurfa einnig að innleiða tækni eins og DNSSEC eða uppfæra netþjóna sína í nýjustu útgáfur, með aðgerðum eins og dulkóðuð dulkóðuð viðskiptaskilríki og handahófi handahófs.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me