SAD DNS: Hvad er denne DNS-cache-forgiftningsmetode

I 2008 var forgiftningen af ​​DNS-serverens cache (Domain Name System) en stor hovedpine. Dog styrkede DNS-servere deres sikkerhed, og angreb af denne type blev reduceret i en sådan grad, at de var meget sjældne. Imidlertid har de i dette år 2020 haft et meget vigtigt rebound, hvor de har fået en ganske betydelig relevans med det nye SAD DNS-angreb. Vil du vide alt om dette nye DNS-cache-forgiftningsangreb?

hacker

UC Riverside-undersøgelsen

Forskere ved University of California i Riverside har opdaget en ny måde at angribe DNS på, dette nye angreb er fokuseret på forgiftning af DNS-serverens cache (Domain Name System). Dette nye angreb har været kendt som SAD DNS, og det er et alvorligt sikkerhedsproblem, som de store DNS-udbydere allerede er begyndt at løse. I 2008 blev angreb af denne type udført ved hjælp af falske IP-adresser, dvs. falske IP-adresser til oprindelse, på denne måde kunne cyberkriminelle omdirigere vores webbrowser fra det sikre websted, som vi havde skrevet i vores adresselinje, til en anden falsk inficeret med malware eller direkte var phishing. Dette problem blev løst i alle DNS-serversoftware,

Dernæst vil vi kort forklare, hvordan en DNS fungerer, og derefter fortsætte med at diskutere SAD DNS, det nye DNS-forgiftningsangreb.

Skift operatørens DNS

Sådan fungerer en DNS-server

DNS står for Domain Name System og kommer fra det engelske akronym Domain Name System. DNS-serverne er ansvarlige for at oversætte det domænenavn, vi indtaster i adresselinjen i vores browser, til den tilsvarende IP-adresse for at nå den webserver, der har sagt den webside, vi leder efter.

De websteder, som vi ønsker at få adgang til, hostes på webservere med en bestemt offentlig IP. Når vi skriver navnet på dette websted, har DNS-serveren ansvaret for at tilbyde os denne IP, som vi har brug for. For eksempel, hvis vi skriver i vores browser i adresselinjen 216.58.210.163, indlæser vi Googles websted. Sammenfattende er disse DNS-servere ansvarlige for at oversætte det, vi skriver i teksttilstand, til en IP-adresse. Dette gøres på denne måde, fordi navne er lettere at huske end tal.

Angreb ved hjælp af SAD DNS

Forskere har fundet et sidekanalangreb, der kan bruges med succes mod den mest populære DNS-software, dette er ingen ringere end trist DNS . Sårbare software inkluderer BIND, Ubundet og dnsmasq, som er meget udbredt i Linux og andre operativsystemer. En vigtig kendsgerning er, at den største sårbarhed vises, når operativsystemet og DNS-servernetværket er konfigureret til at tillade ICMP-fejlmeddelelser.

Angrebet begynder, når cyberkriminellen bruger en sårbarhed til at spoofe IP-adresser, og en computer er i stand til at udløse en anmodning om en DNS-videresender eller -opløsning. Speditører er dem, der hjælper med at finde ud af, hvor DNS-anmodninger sendes. Forskerne brugte derefter en tilknyttet netværkskanal end de vigtigste, der blev brugt i DNS-anmodninger. De bestemte derefter kildeportnummeret ved at holde kanalen åben længe nok til at køre 1000 forsøg pr. Sekund, indtil de fandt den rigtige. Endelig, med den ikke-tilfældige kildeport, indsatte forskerne en ondsindet IP-adresse, og angrebet var vellykket.

I undersøgelsen fandt de ud af, at mere end 34% af nutidens DNS-servere er sårbare over for angreb. En bekymrende kendsgerning er imidlertid, at 85% af de mest populære gratis offentlige DNS-tjenester udsættes for at modtage disse typer angreb. Hvis vi vil kontrollere, om vi udsættes for et angreb af denne art, kan vi gøre det ved at gå til Trist DNS-websted og derefter følge instruktionerne.

SAD DNS Attack Attack Prevention

Moderne forsvarsforanstaltninger som DANE og DNSSEC har stort set stoppet DNS-cacheforgiftning. Problemet er dog, at disse DNS-sikkerhedsmetoder aldrig er blevet implementeret tilstrækkeligt, så disse typer angreb udføres stadig. I øjeblikket har vi allerede måder at stoppe disse angreb, en af ​​dem ville være sammen med DNSSEC . Problemet er imidlertid, at det endnu ikke er implementeret tilstrækkeligt. En anden metode, som vi kunne bruge, som også kunne være nyttig, ville være at bruge DNS-cookie RFC 7873 .

På den anden side er den enkleste afbødning ikke at tillade udgående ICMP-svar helt. Dette har dog en vis skade, da vi mister nogle netværksfejlfinding og diagnostiske funktioner. Endelig er det ideelle for serverne at implementere for at undgå angreb med SAD DNS DNSSEC så hurtigt som muligt . Vi anbefaler også, at du går direkte til forklaringen af Cloudflares SAD DNS .