DNS

DNS cache คือ ไฟล์บนคอมพิวเตอร์ของคุณหรือ ISP ของคุณซึ่งมีรายการที่อยู่ IP ของเว็บไซต์ที่ใช้งานอยู่เป็นประจำ บทความนี้อธิบายถึงสิ่งที่เป็นพิษของแคช DNS และการปลอมแปลง DNS DNS Cache Poisoning ทุกครั้งที่ผู้ใช้พิมพ์ URL เว็บไซต์ในเบราว์เซอร์ของตนเบราว์เซอร์จะติดต่อไฟล์ท้องถิ่น (DNS Cache) เพื่อดูว่ามี รายการใด ๆ ในการแก้ไขที่อยู่ IP ของเว็บไซต์ เบราเซอร์ต้องการที่อยู่ IP ของเว็บไซต์เพื่อให้สามารถเชื่อมต่อกับเว็บไซต์ได้ ไม่เพียงแค่ใช้ URL เพื่อเชื่อมต่อกับเว็บไซต์โดยตรง จะต้องได้รับการแก้ไขให้เป็นที่อยู่ IPv4 หรือ IPv6 ที่เหมาะสม ถ้ามีบันทึกอยู่เว็บเบราว์เซอร์จะใช้ อื่นจะไปที่เซิร์ฟเวอร์ DNS เพื่อรับที่อยู่ IP นี่เรียกว่า DNS lookup

มีการสร้างแคช DNS ในคอมพิวเตอร์ของคุณหรือคอมพิวเตอร์เซิร์ฟเวอร์ DNS ของ ISP เพื่อไม่ให้เวลาในการค้นหา DNS ของ URL ลดลง โดยทั่วไปแคช DNS เป็นไฟล์ขนาดเล็กที่มีที่อยู่ IP ของเว็บไซต์ต่างๆที่ใช้งานบ่อยๆในคอมพิวเตอร์หรือเครือข่าย ก่อนจะติดต่อเซิร์ฟเวอร์ DNS คอมพิวเตอร์ในเครือข่ายจะติดต่อเซิร์ฟเวอร์ภายในเครื่องเพื่อดูว่ามีรายการใดในแคช DNS หรือไม่ ถ้ามีเครื่องคอมพิวเตอร์จะใช้ อื่นเซิร์ฟเวอร์จะติดต่อเซิร์ฟเวอร์ DNS และเรียกที่อยู่ IP จากนั้นจะอัพเดตแคช DNS ในระบบด้วยที่อยู่ IP ล่าสุดสำหรับเว็บไซต์

แต่ละรายการในแคช DNS มีการตั้งค่าขีด จำกัด เวลาขึ้นอยู่กับระบบปฏิบัติการและความถูกต้องของความละเอียดของ DNS หลังจากสิ้นสุดระยะเวลาคอมพิวเตอร์หรือเซิร์ฟเวอร์ที่มีแคช DNS จะติดต่อเซิร์ฟเวอร์ DNS และอัปเดตรายการเพื่อให้ข้อมูลถูกต้อง

อย่างไรก็ตามมีบุคคลที่สามารถวางแคช DNS ให้กับกิจกรรมทางอาญาได้

การฝังแคช

หมายถึงการเปลี่ยนค่าที่แท้จริงของ URL ตัวอย่างเช่นอาชญากรไซเบอร์สามารถสร้างเว็บไซต์ที่ดูเหมือนว่า

xyz.com และป้อนระเบียน DNS ในแคช DNS ของคุณ ดังนั้นเมื่อคุณพิมพ์ xyz.com ในแถบที่อยู่เว็บของเบราว์เซอร์ระบบจะเก็บที่อยู่ IP ของเว็บไซต์ปลอมและนำคุณไปที่นั่นแทนที่จะเป็นเว็บไซต์จริง นี่เรียกว่า Pharming การใช้วิธีนี้อาชญากรไซเบอร์สามารถออกข้อมูลรับรองการเข้าสู่ระบบและข้อมูลอื่น ๆ เช่นรายละเอียดบัตรหมายเลขประกันสังคมหมายเลขโทรศัพท์และอื่น ๆ สำหรับการโจรกรรมข้อมูล นอกจากนี้ยังมีการทำข้อมูลว่าเป็นอันตรายต่อ DNS ในการแพร่มัลแวร์เข้าไปในคอมพิวเตอร์หรือเครือข่ายของคุณ เมื่อคุณเข้าสู่เว็บไซต์ปลอมโดยใช้ DNS cache แล้วอาชญากรสามารถทำอะไรก็ได้ที่ต้องการ บางครั้งแทนที่จะใช้แคชภายในเครื่องอาชญากรก็สามารถตั้งค่าเซิร์ฟเวอร์ DNS ปลอมเพื่อที่เมื่อได้รับการสอบถามพวกเขาสามารถให้ข้อมูลปลอมได้ ที่อยู่ IP นี่คือการเป็นพิษของ DNS ในระดับสูงและทำให้ส่วนใหญ่ของแคช DNS ในพื้นที่ใดมีผลต่อผู้ใช้จำนวนมาก อ่านเพิ่มเติมเกี่ยวกับ

: Comodo Secure DNS | OpenDNS | DNS สาธารณะของ Google | Yandex Secure DNS | Angel DNS

การปลอมแปลงแคช DNS การปลอมแปลง DNS เป็นประเภทของการโจมตีที่เกี่ยวข้องกับการเลียนแบบการตอบสนองของเซิร์ฟเวอร์ DNS เพื่อที่จะนำเสนอข้อมูลที่เป็นเท็จ ในการโจมตีด้วยสแปมผู้ใช้ที่ประสงค์ร้ายพยายามที่จะคาดเดาว่าไคลเอ็นต์ DNS หรือเซิร์ฟเวอร์ได้ส่งการสอบถาม DNS และรอการตอบกลับของ DNS การโจมตีด้วยการปลอมแปลงที่ประสบความสำเร็จจะแทรกการตอบสนอง DNS ปลอมลงในแคชของเซิร์ฟเวอร์ DNS ซึ่งเป็นกระบวนการที่เรียกว่าแคชเป็นพิษ เซิร์ฟเวอร์ DNS ที่ปลอมแปลงไม่สามารถยืนยันได้ว่าข้อมูล DNS มีความถูกต้องและจะตอบกลับจากแคชโดยใช้ข้อมูลปลอม

การปลอมแปลงแคชของ DNS คล้ายกับ DNS Cache Poisoning แต่มีข้อแตกต่างกันเล็กน้อย การปลอมแปลงแคชของ DNS เป็นชุดของวิธีการที่ใช้เพื่อทำให้แคช DNS แคช นี่อาจเป็นรายการบังคับให้กับเซิร์ฟเวอร์ของเครือข่ายคอมพิวเตอร์เพื่อแก้ไขและจัดการกับแคช DNC ซึ่งอาจเป็นการตั้งค่าเซิร์ฟเวอร์ DNS ปลอมเพื่อให้มีการส่งการตอบกลับปลอมเมื่อได้รับการสอบถาม มีหลายวิธีในการวางแคช DNS ให้เป็นพิษและวิธีการหนึ่งที่พบบ่อยคือการปลอมแปลงแคชของ DNS

อ่าน

: วิธีค้นหาว่าการตั้งค่า DNS ของคอมพิวเตอร์ของคุณถูกบุกรุกโดยใช้ ipconfig

การเป็นพิษของ DNS Cache - การป้องกัน ไม่มีวิธีการมากมายที่สามารถป้องกันการเป็นพิษของ DNS Cache ได้ วิธีที่ดีที่สุดคือ

เพิ่มระบบความปลอดภัย

เพื่อไม่ให้ผู้บุกรุกสามารถประนีประนอมเครือข่ายของคุณและจัดการกับแคช DNS ภายในได้ ใช้ ไฟร์วอลล์ที่ดี ซึ่งสามารถตรวจจับการโจมตีของ DNS cache poisoning ได้ การล้างแคช DNS บ่อยครั้งเป็นอีกทางเลือกหนึ่งที่คุณอาจต้องพิจารณา นอกเหนือจากการปรับระบบรักษาความปลอดภัย ควร อัปเดตเฟิร์มแวร์และซอฟต์แวร์

เพื่อให้ระบบรักษาความปลอดภัยเป็นปัจจุบัน ควรปรับปรุงระบบปฏิบัติการด้วยการอัพเดตล่าสุด ไม่ควรมีลิงก์ขาออกของบุคคลที่สาม เซิร์ฟเวอร์ควรเป็นอินเทอร์เฟซเฉพาะระหว่างเครือข่ายและอินเทอร์เน็ตและควรอยู่เบื้องหลังไฟร์วอลล์ที่ดีความน่าเชื่อถือ

ความสัมพันธ์ระหว่างเซิร์ฟเวอร์ ในเครือข่ายควรจะเลื่อนขึ้นสูงขึ้นเพื่อไม่ให้พวกเขาถามเพียงอย่างใด เซิร์ฟเวอร์สำหรับความละเอียด DNS ด้วยวิธีนี้เซิร์ฟเวอร์ที่มีใบรับรองของแท้จะสามารถติดต่อสื่อสารกับเซิร์ฟเวอร์เครือข่ายได้ขณะที่กำลังแก้ไขเซิร์ฟเวอร์ DNS

ระยะเวลา ของแต่ละรายการในแคช DNS ควรสั้นเพื่อให้ระเบียน DNS ถูกเรียกใช้งานได้มากขึ้น บ่อยครั้งและได้รับการปรับปรุง ซึ่งอาจหมายถึงช่วงเวลาที่ยาวนานกว่าในการเชื่อมต่อกับเว็บไซต์ (บางครั้ง) แต่จะช่วยลดโอกาสในการใช้แคชที่เป็นพิษ DNS Cache Locking

ควรกำหนดค่าให้เป็น 90% หรือมากกว่าในระบบ Windows ของคุณ การล็อกแคชใน Windows Server ช่วยให้คุณควบคุมข้อมูลในแคช DNS หรือไม่สามารถเขียนทับได้ ดูที่ TechNet สำหรับข้อมูลเพิ่มเติม ใช้

DNS Socket Pool เนื่องจากเซิร์ฟเวอร์ DNS สามารถใช้การสุ่มตัวอย่างพอร์ตต้นทางเมื่อสร้างการสอบถาม DNS TechNet ส่วนขยายความปลอดภัยของระบบชื่อโดเมน (DNSSEC)

คือชุดของส่วนขยายสำหรับ Windows Server ที่เพิ่มความปลอดภัยให้กับโปรโตคอล DNS คุณสามารถอ่านข้อมูลเพิ่มเติมได้ที่นี่ มีเครื่องมือสองอย่างที่คุณอาจสนใจ

: F-Secure Router Checker จะตรวจหา DNS Hijacking และ WhiteHat Security Tool จะตรวจสอบ DNS hijackings อ่านตอนนี้:

DNS Hijacking คืออะไร? ข้อสังเกตและข้อเสนอแนะยินดีต้อนรับ