DNS е важен при разрешаването на URL адресите^(URLs) , които въвеждате в адресната лента на вашия браузър. Много работа отива в разделянето на имена на домейни^{(Domain Name Resolution)} . Това е вид рекурсивна операция, която помага на браузъра ви да получи IP адреса на уебсайта, който се опитвате да достигнете. Ако се интересувате, можете да прочетете повече за търсенето на DNS и сървърите^{(DNS Lookup and Servers)} .

Терминът DNS Cache се отнася до локалния кеш, който съдържа разрешените IP адреси на уебсайтове, които посещавате. Идеята на DNS Cache е да спести време, което иначе би било изразходвано за свързване с DNS сървъри, които биха стартирали набор от рекурсивни операции, за да открият действителния IP адрес на URL адреса^(URL) , до който трябва да достигнете. Но този кеш може да бъде отровен от киберпрестъпниците, просто като промените записите във вашия DNS кеш на фалшиви IP адреси за уебсайтовете, които използвате.

Какво е DNS отвличане

Както подсказва името, отвличането или пренасочването на ^{(Redirection)}DNS^{(DNS Hijacking)} е метод, използван от киберпрестъпниците, за да отвлекат опита на браузъра ви да разреши IP адреса на уебсайта, който искате да заредите. За по-лесно използване URL адресите^(URLs) , които използваме, са в текстов формат. За всеки URL има IP адрес и набор от операции влизат в преобразуването на текстовия URL адрес^(URL) в цифров IP адрес. Тъй като има много операции, свързани с разрешаването на IP адреса, киберпрестъпниците могат да се възползват от забавянето и да изпратят на вашия компютър фалшив IP адрес, който им принадлежи.

Най- често срещаният метод за отвличане на DNS^{(common method for DNS Hijacking)} е да инсталирате зловреден софтуер на вашия компютър, който променя DNS , така че всеки път, когато браузърът ви се опита да разреши URL , той се свързва с един от фалшивите DNS сървъри вместо с истински DNS сървъри, които се използват от ICANN (авторитет на Интернет^(Internet) , който отговаря за регистрирането на домейни, управлението им, предоставянето им на IP адреси, поддържането на адресите за контакт и др.). Директните DNS сървъри, с които вашият компютър контактува, са DNS сървърите, управлявани от вашия доставчик на интернет услуги –^{(Internet Service Provider –)}освен ако не сте ги променили с нещо друго. Когато се закупи интернет връзка, използваните DNS сървъри са на ISP – разпознати от ICANN .

Зловредният софтуер на вашия компютър променя DNS по подразбиране , доверен от вашия компютър, за да сочи към друг IP адрес. По този начин, когато браузърът ви се опитва да разреши IP адрес, компютърът ви се свързва с фалшив DNS сървър, който ви дава грешен IP адрес. Това води до това, че браузърът ви зарежда злонамерен уебсайт, който може да компрометира компютъра ви или да открадне вашите идентификационни данни и т.н.

Отвличане^{(DNS Hijacking)} на DNS срещу отравяне на DNS кеш^{(DNS Cache)}

Въпреки че и двете се случват на локално ниво, техният произход е от фалшиви DNS сървъри. Докато отвличането на DNS включва злонамерен софтуер^{(DNS hijacking involves malware)} , отравянето на DNS кеша включва презаписване на вашия локален DNS кеш с фалшиви стойности^{(DNS Cache poisoning involves overwriting your local DNS cache with fake values)} , които пренасочват браузъра ви към злонамерени уебсайтове. DNS Cache Poisoning или Spoofing^{(DNS Cache Poisoning or Spoofing)} включва техники като бомбардиране на фалшиви IP адреси, които вашият компютър улавя, докато истинските DNS сървъри все още са заети с разрешаването на URL адреса^(URL) . Тоест, във времето, необходимо на истинските DNS сървъри за разрешаване на URL , киберпрестъпниците изпращат много отговори, които приравняват URL адреса^(URL) с фалшиви IP адреси.

Например, въведете thewindowsclub.com в браузъра си. Докато истински DNS сървър търси адресите, вашият компютър получава повече от една резолюция, че сайтът е на XYZ IP адрес. Това ще накара компютъра ви да повярва, че сайтът е на XYZ , въпреки че истинският DNS сървър изпраща истинския IP адрес, защото DNS сървърите на киберпрестъпниците изпратиха много отговори, съдържащи фалшив IP за thewindowsclub.com .

Тази разлика във времето се използва ефективно от киберпрестъпници, които имат много фалшиви DNS сървъри, за да накарат компютъра ви да запише грешни и злонамерени IP адреси в кеша. Така че една от десетте фалшиви DNS резолюции, изпратени от ^(DNS)DNS сървърите на киберпрестъпниците , има предимство пред една истинска DNS резолюция, изпратена от истинските DNS сървъри. Други методи за отравяне и превенция на DNS кеш^{(DNS Cache Poisoning)} са изброени в предоставената по-горе връзка.

Въпреки че DNS Cache Poisoning и DNS Hijacking се използват взаимозаменяемо, има малка разлика между тях. Методът на DNS Cache Poisoning не включва инжектиране на зловреден софтуер във вашата компютърна система, но се основава на различни методи като този, обяснен по-горе, при който фалшивите DNS сървъри изпращат разделителна способност на URL по-бързо от истинския DNS сървър и по този начин кешът е отровен. След като кешът е отровен, когато използвате заразен уебсайт, компютърът ви е компрометиран. В случай на отвличане на DNS^{(DNS Hijacking)} , вие вече сте заразени. Зловреден софтуер променя вашия DNS по подразбиране^(DNS)доставчик на услуги за нещо, което киберпрестъпниците искат. И оттам те контролират вашите URL разделителни способности ( DNS търсения) и след това продължават да отравят вашия DNS кеш.

Как да предотвратим отвличането на DNS

Вече обсъдихме как да предотвратим отравяне на DNS^{(prevent DNS poisoning)} . За да спрете или предотвратите отвличането на DNS^{(DNS Hijacking)} , се препоръчва да използвате добър софтуер за сигурност,^{(good security software)} който предпазва злонамерен софтуер, като например DNS чейнджъри. Използване на добра защитна стена^(Firewall) . Макар че хардуерно базираната защитна стена е най-добрата, ако нямате такава, можете да включите поне защитната стена на рутера.

Ако смятате, че вече сте заразени, по-добре е да изтриете съдържанието на файла HOSTS^{(HOSTS file)}  и да нулирате Hosts файла^{(reset the Hosts File)} . След като направите това, продължете и използвайте антизловреден софтуер, който ви помага да се отървете от DNS Changers .

Проверете дали някой DNS чейнджър е променил вашия DNS . Ако е така, трябва да промените вашите DNS настройки^{(change your DNS settings)} . Можете да го проверите автоматично. Като алтернатива можете да проверите за DNS ръчно. Започнете с проверка на DNS , споменат в рутера^(Router) и след това в отделните компютри във вашата мрежа. Бих препоръчал да изчистите своя DNS кеш на Windows^{(flush your Windows DNS Cache)} и да промените DNS на рутера си на друг DNS като Comodo DNS , Open DNS, Google Public DNS, Yandex Secure DNS, Angel DNS и т.н. Сигурен DNSв рутера е по-добре от конфигурирането на всеки компютър.

Има инструменти, които може да ви заинтересуват^{(There are tools that may interest you)} : F-Secure Router Checker ще проверява за отвличане на DNS , този онлайн инструмент проверява за DNS отвличания , а WhiteHat Security Tool следи DNS отвличания.

Сега прочетете^{(Now read)} : Какво е отвличане на домейн и как да възстановите отвлечен домейн.

What is a DNS Hijacking attack & how to prevent it

DNS is important in resolving the URLs you enter into the address bar of your browser. A lot of work goes into Domain Name Resolution. It is a sort of recursive operation that helps your browser get the IP address of the website you are trying to reach out. If interested, you can read more about DNS Lookup and Servers.

The term DNS Cache refers to the local cache that contains the resolved IP addresses of websites that you frequent. The idea of DNS Cache is to save time that would otherwise be spent on contacting DNS servers that would start a set of recursive operations to find out the actual IP address of the URL you need to reach. But this cache can be poisoned by cybercriminals simply by changing the entries in your DNS cache to fake IP addresses for the websites you use.

What is DNS Hijacking

As the name suggests, DNS Hijacking or Redirection is a method used by cybercriminals to hijack your browser’s attempt to resolve the IP address of the website you wish to load. For ease of use, the URLs we use are in text format. For each URL, there is an IP address, and a set of operations go into converting the text URL into a numerical IP address. Since there are many operations involved in resolving the IP address,  cybercriminals can take advantage of the delay and send to your computer, a fake IP address that belongs to them.

The most common method for DNS Hijacking is to install malware on your computer that changes the DNS so that whenever your browser tries to resolve a URL, it contacts one of the fake DNS servers instead of real DNS servers that are used by ICANN (authority of Internet that is responsible for registering domains, managing them, providing them with IP addresses, maintaining the contact addresses and more). The direct DNS servers that your computer contacts are the DNS servers being operated by your Internet Service Provider – unless you’ve changed them to something else. When an internet connection is bought, the DNS servers in use are of the ISP – recognized by ICANN.

The malware on your computer changes the default DNS trusted by your computer to point to some other IP address. That way, when your browser tries to resolve an IP address, your computer contacts a fake DNS server that gives you the wrong IP address. This results in your browser loading a malicious website that may compromise your computer or steal your credentials etc.

DNS Hijacking vs. DNS Cache Poisoning

Though both happen at the local level, their origins are from fake DNS servers. While DNS hijacking involves malware, DNS Cache poisoning involves overwriting your local DNS cache with fake values that redirect your browser to malicious websites. DNS Cache Poisoning or Spoofing involves techniques such as the bombardment of fake IP addresses that your computer picks up while the genuine DNS servers are still busy resolving the URL. That is, in the time that takes by genuine DNS servers to resolve a URL, the cybercriminals send plenty of responses that equate the URL with fake IP addresses.

For example, you type thewindowsclub.com in your browser. By the time a genuine DNS server looks up the addresses, your computer receives more than one resolution that the site is at XYZ IP address. This will make your computer believe that the site is at XYZ even though the genuine DNS server sends the genuine IP address because the cybercriminals’ DNS servers sent many responses containing a fake IP for thewindowsclub.com.

This difference in time is used effectively by cybercriminals who have many fake DNS servers to get your computer note down wrong and malicious IP addresses to the cache. So one out of the ten fake DNS resolutions sent by cybercriminals’ DNS servers takes precedence over one genuine DNS resolution sent by the genuine DNS servers. Other methods of DNS Cache Poisoning and prevention are listed in the link provided above.

Though DNS Cache Poisoning and DNS Hijacking are used interchangeably, there is a small difference between them. The method of DNS Cache Poisoning does not involve injecting malware into your computer system but is based on different methods like the one explained above where fake DNS servers send a URL resolution faster than the genuine DNS server and thus the cache is poisoned. Once the cache is poisoned, when you use an infected website, your computer is compromised. In the case of DNS Hijacking, you are already infected. A malware changes your default DNS service provider to something that the cybercriminals want. And from there, they control your URL resolutions (DNS lookups), and then they keep on poisoning your DNS cache.

How to prevent DNS Hijacking

We have discussed how to prevent DNS poisoning already. To stop or prevent DNS Hijacking, it is recommended that you use good security software that keeps malware such as DNS changers away. Using a good Firewall. While a hardware-based firewall is best, if you do not have it, you could turn on your router firewall at the least.

If you think you are already infected, it is better to delete the contents of the HOSTS file and reset the Hosts File. After doing this, go ahead and use antimalware that helps you get rid of DNS Changers.

Check if any DNS changer has changed your DNS. If it has, you should change your DNS settings. You can check it automatically. Alternatively, you can check for the DNS manually. Start by checking the DNS mentioned in Router and then in individual computers on your network. I would recommend that you flush your Windows DNS Cache and change your router DNS to some other DNS like Comodo DNS, Open DNS, Google Public DNS, Yandex Secure DNS, Angel DNS, etc. A secure DNS in the router is better than configuring each computer.

There are tools that may interest you: F-Secure Router Checker will check for DNS hijacking, this online tool checks for DNS Hijackings, and WhiteHat Security Tool monitors DNS hijackings.

Now read: What is Domain Hijacking and how to recover a hijacked domain.

Related posts

• Най-добрите безплатни динамични DNS услуги в мрежата, които трябва да използвате

• Windows не може да комуникира с устройството или ресурса (DNS сървър)

• DNSLookupView е безплатен инструмент за търсене на DNS за компютри с Windows

• Как да активирате DNS през HTTPS в Windows 11/10

• Как да промените настройката на DNS сървъра на Xbox One, за да го направите по-бърз

• DNS не разрешава имена на сървъри на Xbox на конзолата на Xbox

• Как да промените DNS сървъра с помощта на командния ред и PowerShell

• Какво е DNS сървър на трета страна? 8 причини да използвате публични DNS сървъри

• Какво е частен DNS и как да го използвам

• Как да изчистите, нулирате, изчистите DNS кеша в Windows 11/10

• [Fiddler] Неуспешно търсене на DNS за уебсайт system.net.sockets.socketexception

• Как да използвате инструмента за диагностика на Office 365 DNS

• Public DNS Server Tool е безплатен DNS чейнджър за Windows 10

• Как да промените или настроите алтернативен доставчик на защитен DNS в Edge

• Коригирайте DNS сървъра, който не е авторитетен за грешка в зоната в Windows 11/10

• Какво е DNS търсене и как работи DNS търсене

• RSAT липсват инструменти за DNS сървър в Windows 10

• Как да активирате и конфигурирате DNS Aging & Scavenging в Windows Server

• Как да намерите и промените DNS настройките на вашия рутер TP-Link Wi-Fi 6 -

• DNS PROBE FINISHED NXDOMAIN IP адресът на сървъра не може да бъде намерен