DNS означава система за имена на домейни^{(Domain Name System)} и това помага на браузъра да разбере IP адреса на уебсайт, така че да може да го зареди на вашия компютър. DNS кешът^{(DNS cache)} е файл на вашия компютър или компютъра на вашия интернет доставчик^(ISP) , който съдържа списък с IP адреси на редовно използвани уебсайтове. Тази статия обяснява какво е отравяне на DNS кеш и DNS спуфинг.

Отравяне на DNS кеша

Всеки път, когато потребител въведе URL адрес^(URL) на уебсайт в своя браузър, браузърът се свързва с локален файл ( DNS Cache ), за да види дали има запис за разрешаване на IP адреса на уебсайта. Браузърът се нуждае от IP адреса на уебсайтовете, за да може да се свърже с уебсайта. Не може просто да използва URL адреса^(URL) за директно свързване към уебсайта. Той трябва да бъде разрешен в правилен IPv4 или IPv6 IP адрес. Ако записът е там, уеб браузърът ще го използва; иначе ще отиде до DNS сървър, за да получи IP адреса. Това се нарича DNS търсене^{(DNS lookup)} .

DNS кеш се създава на вашия компютър или на компютъра на DNS сървъра на вашия ^(DNS)интернет доставчик^(ISP) , така че времето, прекарано в заявка за DNS на URL , да се намали. По принцип ^(Basically)DNS кешовете са малки файлове , които съдържат IP адресите на различни уебсайтове, които често се използват в компютър или мрежа. Преди да се свържат с DNS сървърите, компютрите в мрежа се свързват с локалния сървър, за да видят дали има запис в DNS кеша. Ако има такъв, компютрите ще го използват; в противен случай сървърът ще се свърже с DNS сървър и ще извлече IP адреса. След това ще актуализира локалния DNSкеш с най-новия IP адрес за уебсайта.

Всеки запис в DNS кеша има зададено времево ограничение в зависимост от операционните системи и точността на DNS резолюциите. След изтичане на периода компютърът или сървърът, съдържащ DNS кеша, ще се свърже с DNS сървъра и ще актуализира записа, така че информацията да е правилна.
Въпреки това, има хора, които могат да отровят DNS кеша за престъпна дейност.

Отравянето на кеша^{(Poisoning the cache)} означава промяна на реалните стойности на URL адресите^(URLs) . Например, киберпрестъпниците могат да създадат уебсайт, който изглежда като например xyz.com и да въведат неговия DNS запис във вашия DNS кеш. По този начин, когато въведете xyz.com в адресната лента на браузъра, последният ще вземе IP адреса на фалшивия уебсайт и ще ви отведе там, вместо на истинския уебсайт. Това се нарича Pharming . Използвайки този метод, киберпрестъпниците могат да измъкнат вашите идентификационни данни за вход и друга информация, като данни за карти, социални осигуровки, телефонни номера и други за кражба на самоличност^{(identity theft)} . DNSотравянето се прави и за инжектиране на зловреден софтуер във вашия компютър или мрежа. След като попаднете на фалшив уебсайт, използвайки отровен DNS кеш, престъпниците могат да правят каквото си поискат.

Понякога, вместо локалния кеш, престъпниците могат също да настроят фалшиви DNS сървъри, така че при запитване да могат да издават фалшиви IP адреси. Това е DNS^(DNS) отравяне на високо ниво и поврежда повечето от DNS кешовете в определена област, като по този начин засяга много повече потребители.

Прочетете за^{(Read about)} : Comodo Secure DNS | OpenDNS | Google Public DNS | Yandex Secure DNS | Ангелски DNS.

Подправяне на DNS кеш

DNS spoofing is a type of attack that involves impersonation of DNS server responses in order to introduce false information. In a spoofing attack, a malicious user attempts to guess that a DNS client or server has sent a DNS query and is waiting for a DNS response. A successful spoofing attack will insert a fake DNS response into the DNS server’s cache, a process known as cache poisoning. A spoofed DNS server has no way of verifying that DNS data is authentic, and will reply from its cache using the fake information.

DNS Cache Spoofing звучи подобно на DNS Cache Poisoning , но има малка разлика. DNS Cache Spoofing е набор от методи, използвани за отравяне на DNS кеш. Това може да бъде принудително влизане в сървъра на компютърна мрежа за модифициране и манипулиране на DNC кеша. Това може да е настройка на фалшив DNS сървър, така че да се изпращат фалшиви отговори при запитване. Има много начини за отравяне на DNS кеш и един от често срещаните начини е DNS Cache Spoofing .

Прочетете^(Read) : Как да разберете дали DNS настройките на вашия компютър са били компрометирани с помощта на ipconfig.

Отравяне на DNS кеш – превенция

Няма много налични методи за предотвратяване на отравяне на DNS кеша . ^{(DNS Cache)}Най-добрият метод е да разширите своите системи за сигурност,^{(scale up your security systems)} така че никой нападател да не може да компрометира вашата мрежа и да манипулира локалния DNS кеш. Използвайте добра защитна стена^{(good firewall)} , която може да открие атаки с отравяне на DNS кеша. Честото изчистване на DNS кеша^{(Clearing the DNS cache)(Clearing the DNS cache)} също е опция, която някои от вас може да обмислят.

Освен да увеличават мащаба на системите за сигурност, администраторите трябва да актуализират своя фърмуер и софтуер,^{(update their firmware and software)} за да поддържат системите за сигурност актуални. Операционните системи трябва да бъдат закърпени с най-новите актуализации. Не трябва да има изходяща връзка на трети страни. Сървърът трябва да бъде единственият интерфейс между мрежата и Интернет^(Internet) и трябва да стои зад добра защитна стена.

Отношенията на доверие на сървърите^{(trust relations of servers)} в мрежата трябва да бъдат преместени по-високо, така че да не искат от всеки сървър DNS резолюции. По този начин само сървърите с истински сертификати ще могат да комуникират с мрежовия сървър, докато разрешават DNS сървъри.

Периодът на всеки запис в DNS кеша трябва да е кратък, така че DNS ^(period)записите^(DNS) да се извличат по-често и да се актуализират. Това може да означава по-дълги периоди от време на свързване с уебсайтове (на моменти), но ще намали шансовете за използване на отровен кеш.

Заключването на кеша на DNS^{(DNS Cache Locking)} трябва да бъде конфигурирано на 90% или повече във вашата Windows система. Заключването на кеша в ^(Cache)Windows Server ви позволява да контролирате дали информацията в DNS кеша може да бъде презаписана или не. Вижте TechNet за повече информация.

Използвайте DNS Socket Pool , тъй като позволява на DNS сървър да използва рандомизиране на портовете на източника при издаване на DNS заявки. Това осигурява подобрена сигурност срещу атаки с отравяне на кеша, казва TechNet .

Системните разширения за защита на имена на домейни (DNSSEC)^{(Domain Name System Security Extensions (DNSSEC))} е набор от разширения за Windows Server , които добавят сигурност към DNS протокола. Можете да прочетете повече за това тук^(here) .

Има два инструмента, които може да ви заинтересуват^{(There are two tools that may interest you)} : F-Secure Router Checker ще проверява за отвличане на DNS, а WhiteHat Security Tool следи DNS отвличанията.

Сега прочетете: ^{(Now read:)} Какво е отвличане на DNS^{(What is DNS Hijacking)} ?

Наблюденията и коментарите са добре дошли.^{(Observation and comments are welcome.)}

DNS Cache Poisoning and Spoofing - What is it?

DNS stands for Domain Name System, and this helps a browser in figuring out the IP address of a website so that it can load it on your computer. DNS cache is a file on your or your ISP’s computer that contains a list of IP addresses of regularly used websites. This article explains what is DNS cache poisoning and DNS spoofing.

DNS Cache Poisoning

Every time a user types a website URL in his or her browser, the browser contacts a local file (DNS Cache) to see if there is an entry to resolve the IP address of the website. The browser needs the IP address of the websites so that it can connect to the website. It cannot simply use the URL to directly connect to the website. It has to be resolved into a proper IPv4 or IPv6 IP address. If the record is there, the web browser will use it; else it will go to a DNS server to get the IP address. This is called DNS lookup.

A DNS cache is created on your computer or your ISP’s DNS server computer so that the amount of time spent in querying the DNS of a URL is reduced. Basically, DNS caches are small files that contain the IP address of different websites that are frequently used on a computer or network. Before contacting DNS servers, computers on a network contact the local server to see if there is an entry in the DNS cache. If there is one, the computers will use it; else the server will contact a DNS server and fetch the IP address. Then it will update the local DNS cache with the latest IP address for the website.

Each entry in a DNS cache has a time limit set, depending upon operating systems and the accuracy of DNS resolutions. After the period expires, the computer or server containing the DNS cache will contact the DNS server and update the entry so that the information is correct.
However, there are people who can poison the DNS cache for criminal activity.

Poisoning the cache means changing the real values of URLs. For example, cybercriminals can create a website that looks like say, xyz.com and enter its DNS record in your DNS cache. Thus, when you type xyz.com in the address bar of the browser, the latter will pick up the IP address of the fake website and take you there, instead of the real website. This is called Pharming. Using this method, cybercriminals can phish out your login credentials and other information such as card details, social security numbers, phone numbers, and more for identity theft. DNS poisoning is also done to inject malware into your computer or network. Once you land on a fake website using a poisoned DNS cache, the criminals can do anything they want.

Sometimes, instead of the local cache, criminals can also set up fake DNS servers so that when queried, they can give out fake IP addresses. This is high-level DNS poisoning and corrupts most of the DNS caches in a particular area thereby affecting many more users.

Read about: Comodo Secure DNS | OpenDNS | Google Public DNS | Yandex Secure DNS | Angel DNS.

DNS Cache Spoofing

DNS spoofing is a type of attack that involves impersonation of DNS server responses in order to introduce false information. In a spoofing attack, a malicious user attempts to guess that a DNS client or server has sent a DNS query and is waiting for a DNS response. A successful spoofing attack will insert a fake DNS response into the DNS server’s cache, a process known as cache poisoning. A spoofed DNS server has no way of verifying that DNS data is authentic, and will reply from its cache using the fake information.

DNS Cache Spoofing sounds similar to DNS Cache Poisoning, but there is a small difference. DNS Cache Spoofing is a set of methods used to poison a DNS cache. This could be a forced entry to a computer network’s server to modify and manipulate the DNC cache. This could be setting up a fake DNS server so that fake responses are sent out when queried. There are many ways to poison a DNS cache, and one of the common ways is DNS Cache Spoofing.

Read: How to find out if your computer’s DNS settings have been compromised using ipconfig.

DNS Cache Poisoning – Prevention

There are not many methods available to prevent DNS Cache poisoning. The best method is to scale up your security systems so that no attacker can compromise your network and manipulate the local DNS cache. Use a good firewall that can detect DNS cache poisoning attacks. Clearing the DNS cache frequently is also an option some of you may consider.

Other than scaling up security systems, admins should update their firmware and software to keep the security systems current. Operating systems should be patched with the latest updates. There should not be any third-party outgoing link. The server should be the only interface between the network and the Internet and should be behind a good firewall.

The trust relations of servers in the network should be moved up higher so that they do not ask just any server for DNS resolutions.  That way, only the servers with genuine certificates would be able to communicate with the network server while resolving DNS servers.

The period of each entry in the DNS cache should be short so that DNS records are fetched more frequently and are updated. This may mean longer time periods of connecting to websites (at times) but will reduce the chances of using a poisoned cache.

DNS Cache Locking should be configured to 90% or greater on your Windows system. Cache locking in Windows Server allows you to control whether or not information in the DNS cache can be overwritten. See TechNet for more on this.

Use the DNS Socket Pool as it enables a DNS server to use source port randomization when issuing DNS queries. This provides enhanced security against cache poisoning attacks, says TechNet.

Domain Name System Security Extensions (DNSSEC) is a suite of extensions for Windows Server that add security to the DNS protocol. You can read more about this here.

There are two tools that may interest you: F-Secure Router Checker will check for DNS hijacking, and WhiteHat Security Tool monitors DNS hijackings.

Now read: What is DNS Hijacking?

Observation and comments are welcome.

Related posts

• Коригирайте съобщението за открита атака за отравяне на DNS кеша

• Как да изчистите, нулирате, изчистите DNS кеша в Windows 11/10

• Как да изчистите и нулирате DNS кеша в Windows 10

• Как да изчистите DNS кеша на Windows, Mac, Android и iOS

• Най-добрите безплатни динамични DNS услуги в мрежата, които трябва да използвате

• HTTP грешка 503, проблем с услугата е недостъпна

• Какво е DNS търсене и как работи DNS търсене

• [Fiddler] Неуспешно търсене на DNS за уебсайт system.net.sockets.socketexception

• Не може да се промени статичен IP адрес и DNS сървър на Windows 11/10

• Поправете грешката, че вашият DNS сървър може да не е наличен

• Как да намерите и промените DNS настройките на вашия рутер TP-Link Wi-Fi 6 -

• DNS не разрешава имена на сървъри на Xbox на конзолата на Xbox

• Как да промените DNS сървъра с помощта на командния ред и PowerShell

• DNS PROBE FINISHED NXDOMAIN IP адресът на сървъра не може да бъде намерен

• Как да видите съдържанието на DNS кеша в Windows 11/10

• Как да активирате DNS през HTTPS в Windows 11/10

• RSAT липсват инструменти за DNS сървър в Windows 10

• Как да промените настройката на DNS сървъра на Xbox One, за да го направите по-бърз

• Как да използвате инструмента за диагностика на Office 365 DNS

• Освободете TCP/IP, изчистете DNS, нулирайте Winsock, нулирайте прокси с пакетен файл