Hva er et DNS Hijacking angrep og hvordan du kan forhindre det
DNS er viktig for å løse nettadressene du skriver inn i adresselinjen i nettleseren din. Mye arbeid går inn Domenenavn. Det er en slags rekursiv operasjon som hjelper nettleseren til å få IP-adressen til nettstedet du prøver å nå ut. Hvis du er interessert, kan du lese mer om DNS-oppslag og servere.
Begrepet DNS Cache refererer til den lokale cachen som inneholder de løste IP-adressene på nettsteder som du hyppigst. Ideen om DNS Cache er å spare tid som ellers ville bli brukt på å kontakte DNS-servere som ville starte et sett med rekursive operasjoner for å finne ut den faktiske IP-adressen til nettadressen du trenger å nå. Men denne cachen kan forgiftes av cyberkriminelle ved å endre oppføringene i DNS-bufferen din til falske IP-adresser for nettstedene du bruker.
Hva er DNS Hijacking
Som navnet antyder, er DNS-hijacking eller omdirigering en metode som brukes av cyberkriminelle til å kapre nettleserens forsøk på å løse IP-adressen til nettstedet du vil laste. For brukervennlighet er nettadressene vi bruker, i tekstformat. For hver URL er det en IP-adresse, og et sett med operasjoner går inn på å konvertere tekstadressen til en numerisk IP-adresse. Siden det er mange operasjoner som er involvert i å løse IP-adressen, kan cyberkriminelle dra nytte av forsinkelsen og sende til datamaskinen din, en falsk IP-adresse som tilhører dem.
Det meste vanlig metode for DNS Hijacking er å installere en skadelig programvare på datamaskinen din som endrer DNS, slik at når nettleseren prøver å løse en URL, kontakter den en av de falske DNS-serverne i stedet for ekte DNS-servere som brukes av ICANN (myndighet på Internett som er ansvarlig for registrering domener, administrere dem, gi dem IP-adresser, opprettholde kontaktadressene og mer). Den direkte DNS serverer at datamaskinens kontakter er DNS-serverne som drives av Internett-leverandøren din - med mindre du har endret dem til noe annet. Når en Internett-tilkobling er kjøpt, er DNS-serverne i bruk av ISP - anerkjent av ICANN.
Malware på datamaskinen endrer standard DNS som er klarert av datamaskinen din til å peke på en annen IP-adresse. På den måten, når nettleseren din prøver å løse en IP-adresse, kontakter datamaskinen din en falsk DNS-server som gir deg feil IP-adresse. Dette resulterer i at nettleseren laster et skadelig nettsted som kan kompromittere datamaskinen eller stjele legitimasjonene dine, osv.
DNS Hijacking vs DNS Cache Forgiftning
Selv om begge skjer på lokalt nivå, kommer deres opprinnelse fra falske DNS-servere. Mens DNS-kapring innebærer en skadelig programvare, de DNS Cache-forgiftning innebærer å overskrive ditt lokale DNS-cache med falske verdier som omdirigerer nettleseren din til ondsinnede nettsteder. DNS Cache-forgiftning eller spoofing innebærer teknikker som bombardement av falske IP-adresser som datamaskinen henter opp mens de ekte DNS-serverne fremdeles er opptatt av å løse URL-adressen. Det er på den tiden som tar av ekte DNS-servere å løse en nettadresse, sender de cyberkriminelle mange svar som tilsvarer nettadressen med falske IP-adresser.
For eksempel skriver du inn thewindowsclub.com i nettleseren din. Når en ekte DNS-server ser opp adressene, mottar datamaskinen mer enn én oppløsning at nettstedet er i XYZ IP-adresse. Dette vil få datamaskinen til å tro at nettstedet er på XYZ, selv om den ekte DNS-serveren sender den ekte IP-adressen fordi cyberkriminals DNS-servere sendte mange svar med en falsk IP for thewindowsclub.com.
Denne tidsforskjellen brukes effektivt av cyberkriminelle som har mange falske DNS-servere for å få datamaskinen til å legge ned feil og ondsinnede IP-adresser til hurtigbufferen. Så en av de ti falske DNS-resolusjonene som sendes av cyberkriminals DNS-servere, har forrang over en ekte DNS-oppløsning sendt av de ekte DNS-serverne. Andre metoder for DNS Cache-forgiftning og forebygging er oppført i lenken som er angitt ovenfor.Selv om DNS Cache-forgiftning og DNS-hijacking brukes om hverandre, er det en liten forskjell mellom dem. Metoden for DNS Cache-forgiftning innebærer ikke å injisere malware i datasystemet, men er basert på forskjellige metoder som den som er forklart ovenfor hvor falske DNS-servere sender en nettadresseresolution raskere enn den ekte DNS-serveren, og dermed blir cachen forgiftet. Når hurtigbufferen er forgiftet, blir datamaskinen skadet når du bruker et infisert nettsted. I tilfelle av DNS Hijacking er du allerede smittet. En skadelig programvare endrer standard DNS-tjenesteleverandøren til noe som cyberkriminelle vil ha. Og derfra kontrollerer de URL-oppløsningene dine (DNS-oppslag), og de fortsetter å forgifte DNS-bufferen din.
Slik forhindrer du DNS-hijacking
Vi har diskutert hvordan du kan forhindre DNS-forgiftning allerede. For å stoppe eller forhindre DNS-hijacking, anbefales det at du bruker en god sikkerhetsprogramvare som holder malware, for eksempel DNS-veksler, unna. Bruke en god brannmur. Mens en maskinvarebasert brannmur er best, hvis du ikke har det, kan du slå på ruterens brannmur i det minste.
Hvis du tror at du allerede er infisert, er det bedre å slette innholdet i HOSTS-filen og tilbakestille vertsfilen. Etter å ha gjort dette, gå videre og bruk en antimalware som hjelper deg med å bli kvitt DNS Changers.
Sjekk om en DNS-veksler har endret DNS-en. Hvis den har, bør du endre DNS-innstillingene dine. Du kan sjekke det automatisk. Alternativt kan du sjekke DNS manuelt. Start med å sjekke DNS nevnt i ruteren og deretter i enkelte datamaskiner på nettverket ditt. Jeg vil anbefale at du spyler DNS-DNS-bufferen din og endrer ruteren DNS til en annen DNS som Comodo DNS, Open DNS, Google Public DNS, Yandex Secure DNS, Angel DNS, etc. En sikker DNS i ruteren er bedre enn å konfigurere hver datamaskin.
Det finnes verktøy som kan interessere deg: F-Secure Router Checker vil sjekke for DNS-kapring, dette elektroniske verktøyet sjekker for DNS-hijackings, og WhiteHat Security Tool overvåker DNS-kapsler.
Les nå: Hva er Domain Hijacking og hvordan å gjenopprette et kapret domene.