מהי הרעלת DNS?

הרעלת DNS המכונה גם זיוף DNS, היא סוג של פריצת אבטחת רשת בה נתוני מערכת שמות הדומיינים פגומים. נתונים שקריים מוכנסים לזכר המטמון של פותר ה- DNS, וגורמים לשרת ה- DNS להחזיר רשומות גרועות. כתוצאה מכך תנועה מועברת מהיעד המיועד.


התקפת הרעלת DNS מתבצעת בדרך כלל באמצעות כתובות URL המועברות באמצעות הודעות דואר זבל. אימיילים אלה רוצים להערים על משתמשים ללחוץ על כתובת האתר שהתקבלה.

כיצד עובד DNS

שרת DNS מתרגם שם דומיין או URL כמו google.com לכתובת IP, שבה מכונות משתמשות כדי ליצור חיבורים.

כדי להגדיל את ביצועי השרת, זה בדרך כלל מטמון את התרגום לזמן מה. אם מתקבלת בקשה לתרגום שנשמר כבר, התשובה תינתן מבלי לשאול את השרת.

כאשר תרגום ה- DNS מתקבל ומטמון במטמון על ידי ה- DNS, הוא הופעל מורעל. לאחר מכן הוא שולח מידע שגוי ללקוח.

מטמון DNS

לאינטרנט אין רק שרת DNS אחד, מכיוון שזה לא יעיל מאוד. ספקי שירותי אינטרנט (ISP) מנהלים שרתי DNS משלהם המשליכים מידע משרתי DNS מהימנים אחרים.

הנתב הביתי משמש גם כשרת DNS, המטמון את המידע מ- ISP שלך’שרתי DNS של. למערכת שלך מטמון DNS מקומי כך שהיא יכולה להתייחס לחיפושי DNS במהירות, שהיא כבר ביצעה במקום לבצע בדיקת DNS חדשה בכל פעם.

קרא עוד אודות מהו מטמון DNS וכיצד הוא עובד

הרעלת מטמון DNS

ייתכן שמטמון DNS מורעל כאשר הוא מכיל רשומת מטמון לא נכונה. למשל, כאשר תוקף גונב את השליטה בשרת DNS ועושה שינויים בחלק מהמידע עליו.

לתת’אומרים שהם גורמים ל- google.com להצביע למעשה על כתובת IP אחרת שבבעלות התוקף. שרת DNS זה יגרום למשתמשים שלו לחפש google.com בכתובת הלא נכונה. התוקף’כתובת ה- IP שלה עשויה להיות לאתר דיוג זדוני שעלול להזיק למערכת שלך.

סוג זה של הרעלת DNS מדבק גם הוא. לדוגמה, אם ספקי שירותי אינטרנט רבים מקבלים את אותם נתוני DNS נגועים משרת פגום זה, ערך ה- DNS המורעל יכול להתפשט לחלוטין על ידי ספקי שירותי האינטרנט הללו ולהשיג מטמון שם.

לאחר מכן מידע DNS נפגע זה יתפשט לנתבים ביתיים שונים, ושרת ה- DNS אז ישמור אותו במטמון במחשבים כאשר הם מנסים לחפש את ערך ה- DNS. הם יקבלו את התגובות השגויות וישמרו אותם במערכת.

כיצד פועלת הרעלת DNS

הרעלת מטמון DNS נעשית באמצעות הקוד הנמצא בדרך כלל בכתובות URL הנשלחות באמצעות דוא"ל ספאם. מיילים אלה מנסים לוודא שהמשתמשים לוחצים על כתובת ה- URL שהתקבלה, שבהחלט תשפיע על המחשבים שלהם.

ניתן להשתמש בתמונות ובמודעות באנר שנמצאות בהודעות דואר זבל ובאתרים לא אמינים כדי להפנות משתמשים לקוד זה. ברגע שהמחשב מורעל, ייקח משתמשים לאתרי אינטרנט מזויפים, שזויתם בכדי להיראות כמו הדבר האמיתי. זה יחשוף אותם לסיכונים שונים כמו keyloggers, תוכנות ריגול או תולעים.

התקפות הרעלת מטמון DNS

בדרך כלל ספקי שירותי אינטרנט או ארגוני משתמשים מספקים שרתי DNS למחשבים ברשת. כדי להגדיל את תגובת הרזולוציה, רשתות ארגון מבצעים משתמשות בשרתי DNS כדי לתפוס מידע שהושג בעבר. משתמשים שמתארחים על ידי שרתים נפגעים מושפעים כאשר DNS מורעל.

לפני שניתן לבצע התקפת הרעלת DNS, חייבת להיות פרצה ביישום ה- DNS. על שרת לאמת שתגובות DNS מתקבלות מהמקור האותנטי מכיוון שהשרת עלול לטמון רשומות שגויות באופן מקומי ולתת אותן למשתמשים שהגישו את אותה בקשה מדויקת..

דוגמה לכך היא כאשר תוקף מבצע פרודיה על רשומת כתובת IP עבור אתר מסוים ומשנה אותה לכתובת IP חדשה בה הם שולטים. לכן התוקף יוצר מסמכים בשרת בו הם שולטים עם שמות דומים לשרת הספציפי.

הקבצים שנוצרו מכילים לרוב תכנים מזיקים, כמו וירוסי מחשב או תולעים. כל משתמש שהמערכת שלו השתמשה בשרת ה- DNS שנפגע יכול לקבל שולל לקבל את החומרים הפגועים המגיעים מהשרת הלא מקורי ולהוריד בטעות את התוכן המזיק..

סיכוני הרעלת DNS

הרעלת DNS גורמת לסיכונים רבים. קל לזייף כתובות IP של אתרי בנקאות וקמעונאות. המשמעות היא שניתן בקלות לגנוב מידע רגיש כמו פרטי כרטיסי אשראי, סיסמאות וכדומה. אם אתרי ISP מזויפים, משתמש’המחשב יכול להתפשר.

לבסוף, קשה לחסל הרעלת מטמון DNS, מכיוון שניקוי השרת הנגוע אינו מסיר את הבעיה, ומערכות נקיות המתחברות לשרת שנפגע בהחלט יתפשרו שוב. שטיפת מטמון ה- DNS שלך יכולה לפתור בעיה זו.

מניעת הרעלת DNS

בתור התחלה, כדי למנוע הרעלת DNS אנשי IT צריכים להגדיר שרתי DNS כך שיהיו תלויים במערכות יחסים מהימנות עם שרתי DNS אחרים ככל האפשר. צמצום יחסי אמון בין שרתים מקשה מאוד על התוקפים לעשות שימוש בשרתי DNS משלהם כדי להרעיל שרתים ממוקדים.

מלבד הגבלת יחסי אמון בין שרתי DNS, אנשי IT צריכים להבטיח כי השימוש בגרסת ה- DNS האחרונה. DNS’ המשתמשים ב- BIND בגרסה 9.5.0 ואילך, כוללים תכונות כמו מזהי עסקה מוצפנים באופן קריפטוגרפי ואקראיות של יציאות.

מזהי עסקה מוצפנים באופן קריפטוגרפי ואקראיות של יציאות עוזרים במניעת התקפות הרעלת DNS. כדי למנוע עוד התקפות הרעלת DNS, אנשי IT צריכים להגדיר את שרתי ה- DNS שלהם כדי להגביל שאילתות רקורסיביות ולאחסן רק נתונים הקשורים לתחום המבוקש..

עליהם גם להגביל את תגובות השאילתה כדי לספק רק מידע על הדומיין המבוקש. יש לשמור על שרת ה- DNS כדי לוודא שמוסרים שירותים שאינם נחוצים. כדי למנוע עוד הרעלת DNS, אנשי IT יכולים ליישם את טכניקת DNSSEC בשרת ה- DNS.

DNSSEC

DNSSEC נוצר לצורך רזולוציית מטמון המשרתת את היישומים וכדי להגן על יישומים משימוש בנתוני DNS שעברו מניפולציה או מזויפים, כמו זה שנוצר על ידי הרעלת מטמון DNS. כל התגובות מאזורים מוגנים על ידי DNSSEC נחתמים דיגיטלית.

על ידי התבוננות בחתימה הדיגיטלית, פותר DNS יוכל לראות אם המידע שנמסר זהה - כלומר ללא שינוי ושלם - למידע שנמסר על ידי בעל האזור ומופץ בשרת DNS סמכותי. הגנת כתובות IP היא הדאגה העיקרית של משתמשים רבים.

DNSSEC יכול להגן על כל הנתונים המתפרסמים בשרת ה- DNS, כולל רשומות הטקסט (TXT) ורשומות חילופי הדואר (MX). ניתן להשתמש ב- DNSSEC כדי לשלב מערכות אבטחה אחרות המספקות משוב על אישורי קריפטוגרפיה שנשמרים ב- DNS כמו רשומות אישורים, מפתחות ציבוריים של IPSec, טביעות אצבעות SSH, ועוגני TLS Trust.

DNSSEC אינו מספק סודיות נתונים. למען הדיוק, לא כל התגובות של DNSSEC מוצפנות אך הן מאומתות. DNSSEC לא עושה זאת’אני מגן ישירות מפני התקפות DoS, אם כי זה מספק כמה יתרונות עקיפים.

נוהל בדיקת ה- DNS עבור DNSSEC

מתוצאת בדיקת DNS, פותר DNS מודע לאבטחה יכול להכתיב אם שרת השמות המורשה לאותו תחום תומך ב- DNSSEC, האם התגובה מאובטחת והאם יש צורה כלשהי של שגיאה. נוהל האיתור משתנה עבור שרתי שמות רקורסיביים כמו שרתי שמות של ספקי שירותי אינטרנט, ועבור רזולוצי דפים כמו אלה המשולבים כברירת מחדל במערכות הפעלה רגילות (כמו רזולוציית ה- Stub של Windows). Windows של מיקרוסופט עושה שימוש ברזולוציית ה- Stub ו- Windows 7 משתמשת בפתרון ה- Stub שאינו מאמת - אך מודע ל- DNSSEC..

באופן קריפטוגרפי, כדי לדעת אם תחום נעדר יש צורך לתייג את התשובה לכל שאילתה בתחום שאינו קיים. אם כי זה לא נושא עבור שרתי חתימה מקוונים, עבורם מפתחות זמינים באופן מקוון.

יתר על כן, DNSSEC נוצר כדי להשתמש במחשבים לא מקוונים כדי לחתום על רשומות כך שניתן לאחסן את מקשי החתימה על האזור באחסון קר. זה יכול ליצור בעיה כשמנסים לאמת תשובות.

לשאילתת דומיינים שאינם קיימים, לא ניתן ליצור מראש תשובה לכל שאילתה של שם מארח אפשרי. הפיתרון הראשון לסוגיה זו היה תכנון רשומות NSEC לכל זוגות התחומים באזור מסוים.

לכן, אם לקוח מבקש רשומה שאינה קיימת כמו k.example.com, השרת היה עונה ברשומת NSEC הקובעת כי דבר לא קיים בקרב a.example.com ו- z.example.com. עם זאת, טכניקה זו מדלפת מידע נוסף על אזור זה מאשר על שגיאות NXDOMAIN המסורתיות והלא מאומתות מאחר שהיא מראה קיום אמיתי בתחום.

מניעה והפחתת הרעלת DNS

ניתן למנוע בקלות התקפות הרעלת DNS רבות על ידי צמצום האמון במידע המתקבל משרתי DNS חיצוניים.

טקטיקה נוספת היא להתעלם מרישומי DNS שהתקבלו שאינם מאוד ישימים לשאילתה. ניתן להפחית התקפות הרעלת DNS בשכבת היישום או בשכבת התובלה כאשר מתבצע אימות נקודה לנקודה במערכות לאחר יצירת החיבור. דוגמה אופיינית לסוג זה של הליך הוא השימוש בחתימות דיגיטליות ובאבטחת שכבות תעבורה (TLS).

לדוגמה, באמצעות גרסת HTTP מאובטחת שהיא HTTP, משתמשים יכולים לבדוק אם האישור הדיגיטלי של השרת תקף ושהוא שייך לאתר.’הבעלים המשוער.

באופן דומה, תוכנית ההתחברות המרוחקת, המכונה פגז מאובטח (SSH), בודקת בנקודות הקצה את האישורים הדיגיטליים לפני שהיא ממשיכה עם הכישוף..

עבור תוכנה שמורידה עדכונים אוטומטית, התוכנה יכולה לכלול באופן מקומי כפילות של האישור החתום ולאמת את החתימה שנשמרה בעדכון היישום עם זו של האישור המוטמע..

שורה תחתונה

מכיוון שכולנו עוברים דיגיטליים, הרעלת DNS מהווה איום גדול מאוד על המידע והפעילויות היומיומיות שלנו. הרעלת DNS העניקה לתוקפים אפשרות לפגוע במערכות מרחוק מבלי שיש להם גישה פיזית למערכת זו.

מניעת הרעלת DNS והרעלת מטמון חשובה מאוד, ולכן מנהלים צריכים ליישם גישה פחות אמינה כלפי שרתים אחרים.

הם גם צריכים ליישם טכניקות כמו DNSSEC או לעדכן את השרתים שלהם לגרסאות העדכניות ביותר, עם תכונות כמו מזהי טרנזאקציות מוצפנות באופן קריפטוגרפי, ואקראיות של יציאות.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

Add a Comment

Your email address will not be published. Required fields are marked *

95 − 89 =