O que é falsificação de DNS?
DNS (Servidor de nomes de domínio) spoofing ou envenenamento de cache DNS é um tipo de ataque cibernético usado por um invasor para direcionar o tráfego da vítima para um site malicioso (em vez de um endereço IP legal). Os invasores usam envenenamento de cache DNS para redirecionar o tráfego da Internet e roubar informações confidenciais.
Por exemplo, um hacker quer enganar os usuários para que insiram informações pessoais em um site inseguro. Como ele faz aquilo? Envenenando o cache DNS. O hacker falsifica ou substitui os dados DNS de um site específico e redireciona a vítima para o servidor do invasor em vez do servidor legítimo. Desta maneira, o hacker atinge seu objetivo porque tem muitas oportunidades: ele pode cometer um ataque de phishing, roubar dados ou até mesmo injetar malware no sistema da vítima.
Como funciona a falsificação de DNS?
Antes de falar sobre envenenamento de cache DNS, vamos primeiro lembrar o que é DNS e cache DNS. DNS é um diretório mundial de Endereços IP e nomes de domínio. DNS emparelha endereços fáceis de usar, como facebook.com, em endereços IP, como 157.240.22.35, que os computadores usam na rede. O cache DNS é um sistema para armazenar endereços em servidores DNS em todo o mundo. Para acelerar o processamento de suas solicitações de DNS, desenvolvedores criaram um sistema DNS distribuído. Cada servidor mantém uma lista de registros DNS disponíveis chamada cache. Se o DNS o servidor mais próximo de você não possui o endereço IP necessário, ele consulta os servidores DNS superiores até que o endereço do site que você está tentando acessar não seja encontrado. Seu servidor DNS salva esse novo registro em seu cache para obter uma resposta mais rápida na próxima vez.
Infelizmente, O DNS tem várias falhas de segurança que os invasores podem explorar e inserir registros forjados de endereços de domínio da Internet no sistema. Tipicamente, criminosos enviam respostas falsas ao servidor DNS. O servidor então responde ao usuário que fez a solicitação, e ao mesmo tempo, os servidores legítimos armazenarão em cache o registro falso. Assim que o servidor de cache DNS armazenar o par falso, todas as solicitações subsequentes para o registro comprometido terão o endereço do servidor controlado pelo invasor.
Técnicas de falsificação de DNS podem incluir:
- Homem no meio (MITM) – O cibercriminoso intercepta o tráfego e o passa por seu sistema, coletando informações à medida que ele avança ou as redireciona para outro lugar.
- Comprometimento do servidor DNS – sequestrar diretamente o servidor DNS e configurá-lo para retornar um endereço IP malicioso.
Os cibercriminosos podem facilmente comprometer Respostas DNS permanecendo sem ser detectado devido a vulnerabilidades de segurança em aplicações web específicas e à falta de autenticação adequada de registros DNS. Vamos dar uma olhada neles:
Falta de verificação e validação
O DNS tem uma estrutura de primeira confiança que não requer validação de IP para verificação antes de enviar uma resposta. Porque os resolvedores DNS não validam os dados no cache, uma entrada inválida permanece até que seja excluída manualmente ou o TTL expire.
Vulnerabilidade do resolvedor de DNS recursivo
Quando a consulta recursiva está ativa, o servidor DNS recebe a solicitação e faz todo o trabalho de encontrar o endereço correto e enviar a resposta ao usuário. Se não tiver um registro em seu cache, ele irá consultar outros DNS servidores até obter o endereço e devolvê-lo ao usuário. Habilitar consultas recursivas apresenta uma vulnerabilidade de segurança que os invasores podem explorar para envenenar o DNS esconderijo.
Enquanto o servidor procura o endereço, o invasor pode interceptar o tráfego e fornecer uma resposta falsa. O servidor DNS recursivo enviará a resposta ao usuário e armazenará simultaneamente o endereço IP falsificado em seu cache.
Sem criptografia
Tipicamente, o protocolo DNS não está criptografado, tornando mais fácil para os invasores interceptarem seu tráfego. Além disso, os servidores não precisam verificar os endereços IP para os quais roteiam o tráfego. Portanto, eles não podem determinar se é genuíno ou falsificado.
Como prevenir a falsificação de DNS?
O monitoramento em tempo real dos dados DNS pode ajudar a identificar padrões incomuns, ações do usuário, ou comportamentos no trânsito, como visitar sites maliciosos. E embora seja difícil detectar o envenenamento do cache DNS, existem várias medidas de segurança que as empresas e prestadores de serviços podem tomar para evitá-lo. Algumas medidas para evitar o envenenamento do cache DNS incluem o uso de DNSSEC, desabilitando consultas recursivas, e mais.
O limite das relações de confiança
Uma das vulnerabilidades das transações DNS é a alta relação de confiança entre diferentes servidores DNS. Portanto, servidores não autenticam os registros que recebem, permitindo que invasores enviem respostas falsas de seus servidores ilegítimos.
Para evitar que invasores explorem essa falha, grupos de segurança devem limitar o nível de confiança que seus servidores DNS têm com outros. Configurar servidores DNS para não dependerem de relações de confiança com outros servidores DNS dificulta que hackers usem um servidor DNS para comprometer registros em servidores legítimos. Existem muitas ferramentas disponíveis para verificar ameaças à segurança do DNS.
Use o protocolo DNSSEC
Porque as extensões de segurança do sistema de nomes de domínio (DNSSEC) usa criptografia de chave pública para assinar registros DNS, adiciona validação e permite que os sistemas determinem se um endereço é válido ou não. Isso evita falsificações, verificando e autenticando solicitações e respostas.
Em operação normal, o DNSSEC protocolo associa uma assinatura criptográfica exclusiva a outras informações DNS, como CNAME e registros A. O resolvedor DNS então usa essa assinatura para autenticar a resposta DNS antes de enviá-la ao usuário.
Assinaturas de segurança garantem que um servidor de origem legítimo valide as respostas às solicitações recebidas pelos usuários. Embora DNSSEC pode prevenir o envenenamento do cache DNS, tem desvantagens como implantação complexa, provisionamento de dados, e vulnerabilidades de enumeração de zona em versões anteriores.
Use o software de versões DNS e BIND mais recentes
Começando com a versão 9.5.0 VINCULAR (Domínio de nome de Internet de Berkeley) inclui recursos de segurança aprimorados, como identificadores de transação criptograficamente seguros e randomização de portas, o que minimiza a chance de envenenamento do cache DNS. Também é importante que a equipe de TI o mantenha atualizado e garanta que seja a versão mais recente e segura. Aqui estão mais algumas dicas úteis para ajudar a prevenir o envenenamento do cache DNS.
- Configurar o DNS servidor para responder está exclusivamente relacionado ao domínio solicitado.
- Certifique-se de que o servidor de cache armazene apenas dados relacionados ao domínio solicitado.
- Forçado a usar HTTPS para todo o tráfego.
- Desative o DNS Consultas recursivas.
O envenenamento do cache DNS faz com que os usuários do domínio sejam redirecionados para endereços maliciosos. Além disso, alguns servidores controlados por invasores podem induzir usuários desavisados a baixar malware ou fornecer senhas, Informação do cartão de crédito, e outras informações confidenciais. Para evitar isso, é essencial usar métodos de segurança confiáveis.
