เรียนรู้เกี่ยวกับการปลอมแปลงแคช DNS และการวางพิษแคช DNS

DNSย่อมาจาก Domain Name System และช่วยให้เบราว์เซอร์ค้นหาที่อยู่ IPของเว็บไซต์ เพื่อให้สามารถโหลดลงในคอมพิวเตอร์ของคุณได้ แคช DNS คือไฟล์บน ISP หรือคอมพิวเตอร์ของคุณที่มีรายการที่อยู่ IP ของเว็บไซต์ที่ใช้บ่อย บทความนี้จะอธิบายว่า DNS Cache Poisoning และการปลอมแปลงแคช DNS คืออะไร

• ที่อยู่ IP คืออะไร?

พิษแคช DNS

แต่ละครั้งที่ผู้ใช้ป้อน URL ของเว็บไซต์ลงในเบราว์เซอร์ของตน เบราว์เซอร์จะติดต่อกับไฟล์ในเครื่อง (แคช DNS) เพื่อดูว่ามีรายการใดๆ ที่คล้ายกับที่อยู่ IP ของเว็บไซต์หรือไม่ เบราว์เซอร์จำเป็นต้องมีที่อยู่ IP ของเว็บไซต์เพื่อให้สามารถเชื่อมต่อได้ ไม่สามารถใช้เพียง URL เพื่อเชื่อมต่อกับเว็บไซต์โดยตรงได้ จะต้องเชื่อมต่อกับ ที่อยู่ IPv4หรือIPv6ที่เหมาะสม หากมีบันทึกอยู่ เว็บเบราว์เซอร์ก็จะใช้งานข้อมูลนั้น มิฉะนั้นจะไปที่เซิร์ฟเวอร์ DNSเพื่อรับที่อยู่ IP สิ่งนี้เรียกว่าการค้นหา DNS

แคช DNS ถูกสร้างขึ้นบนคอมพิวเตอร์ของคุณหรือเซิร์ฟเวอร์ ISP DNS เพื่อลดระยะเวลาที่ใช้ในการสืบค้น DNS ของ URL โดยพื้นฐานแล้ว แคช DNS เป็นไฟล์ขนาดเล็กที่มีที่อยู่ IP ของเว็บไซต์ต่างๆ ที่ใช้กันทั่วไปในคอมพิวเตอร์หรือเครือข่าย ก่อนที่จะติดต่อเซิร์ฟเวอร์ DNS คอมพิวเตอร์บนเครือข่ายจะติดต่อกับเซิร์ฟเวอร์ภายในเครื่องเพื่อดูว่ามีรายการใด ๆ ในแคช DNS หรือไม่ ถ้าเป็นเช่นนั้นคอมพิวเตอร์ก็จะใช้งาน มิฉะนั้นเซิร์ฟเวอร์จะติดต่อกับเซิร์ฟเวอร์ DNS และดึงข้อมูลที่อยู่ IP นั้น จากนั้นจะอัปเดตแคช DNS ในเครื่องด้วยที่อยู่ IP ล่าสุดสำหรับเว็บไซต์

แต่ละรายการในแคช DNS มีเวลาจำกัด ขึ้นอยู่กับระบบปฏิบัติการและความถูกต้องของการแก้ไข DNS หลังจากหมดอายุ คอมพิวเตอร์หรือเซิร์ฟเวอร์ที่มีแคช DNS จะติดต่อกับเซิร์ฟเวอร์ DNS และอัปเดตรายการเพื่อให้ข้อมูลถูกต้อง

อย่างไรก็ตาม มีผู้ที่ต้องการวางยาพิษแคช DNS เพื่อจุดประสงค์ที่เป็นอันตราย

การเป็นพิษต่อแคชหมายถึงการเปลี่ยนค่าที่แท้จริงของ URL ตัวอย่างเช่น อาชญากรไซเบอร์สามารถสร้างเว็บไซต์ที่ดูเหมือน xyz.com และนำเข้าบันทึก DNS ไปยังแคช DNS ของคุณ ดังนั้น เมื่อคุณพิมพ์ xyz.com ลงในแถบที่อยู่ของเบราว์เซอร์ เบราว์เซอร์ตัวที่สองจะได้รับที่อยู่ IP ของเว็บไซต์ปลอมและพาคุณไปที่นั่น แทนที่จะเป็นเว็บไซต์จริง สิ่งนี้เรียกว่าการทำฟาร์ม การใช้วิธีนี้ อาชญากรไซเบอร์สามารถตรวจจับข้อมูลการเข้าสู่ระบบของคุณและข้อมูลอื่น ๆ อีกมากมาย เช่น รายละเอียดบัตร หมายเลขประกันสังคม หมายเลขโทรศัพท์ ฯลฯ เพื่อขโมยข้อมูล บุคคล การวางพิษแคช DNS ยังทำเพื่อแนะนำมัลแวร์ให้กับคอมพิวเตอร์หรือเครือข่ายของคุณ เมื่อคุณเยี่ยมชมเว็บไซต์ปลอมที่มีแคช DNS ที่ติดไวรัส อาชญากรสามารถทำสิ่งที่พวกเขาต้องการได้

บางครั้ง แทนที่จะเป็นแคชในเครื่อง อาชญากรยังสามารถตั้งค่าเซิร์ฟเวอร์ DNS ปลอม เพื่อที่ว่าเมื่อถูกสอบถาม พวกเขาสามารถปล่อยที่อยู่ IP ปลอมออกมาได้ นี่เป็นปัญหา DNS ในระดับสูงและทำให้แคช DNS ส่วนใหญ่เสียหายในภูมิภาคใดภูมิภาคหนึ่ง ซึ่งส่งผลกระทบต่อผู้ใช้จำนวนมากขึ้น

การปลอมแปลงแคช DNS

การปลอมแปลง DNSคือการโจมตีประเภทหนึ่งที่เกี่ยวข้องกับการแอบอ้างการตอบสนองของเซิร์ฟเวอร์ DNS เพื่อนำเสนอข้อมูลที่เป็นเท็จ ในการโจมตีด้วยการปลอมแปลง แฮกเกอร์พยายามคาดเดาว่าไคลเอ็นต์ DNS หรือเซิร์ฟเวอร์ได้ส่งข้อความสอบถาม DNS และกำลังรอการตอบสนองของ DNS การโจมตีด้วยการปลอมแปลงที่ประสบความสำเร็จจะแทรกการตอบสนอง DNS ปลอมลงในแคชเซิร์ฟเวอร์ DNS กระบวนการนี้เรียกว่าการเป็นพิษต่อแคช เซิร์ฟเวอร์ DNS อันธพาลไม่มีวิธีการตรวจสอบว่าข้อมูล DNS เป็นของแท้ และจะตอบสนองจากแคชโดยใช้ข้อมูลที่ปลอมแปลง

การปลอมแปลงแคช DNS ดูเหมือนจะคล้ายกับการวางพิษแคช DNS แต่มีความแตกต่างเล็กน้อย การปลอมแปลงแคช DNS คือชุดวิธีการที่ใช้ในการวางพิษแคช DNS นี่อาจเป็นรายการบังคับในเซิร์ฟเวอร์เครือข่ายคอมพิวเตอร์เพื่อแก้ไขและควบคุมแคช DNS วิธีนี้สามารถตั้งค่าเซิร์ฟเวอร์ DNS ปลอมให้ส่งการตอบกลับปลอมเมื่อถูกสอบถาม มีหลายวิธีในการทำให้แคช DNS เสียหาย และวิธีหนึ่งที่พบบ่อยคือการปลอมแปลงแคช DNS

มาตรการป้องกันการเป็นพิษแคช DNS

มีวิธีการไม่มากนักที่สามารถป้องกันการแคช DNS ได้ แนวทางที่ดีที่สุดคือการขยายขนาดระบบรักษาความปลอดภัยของคุณ เพื่อไม่ให้ผู้โจมตีสามารถโจมตีเครือข่ายของคุณและส่งผลกระทบต่อแคช DNS ในเครื่องได้ การใช้ไฟร์วอลล์ที่ดีสามารถตรวจจับการโจมตีที่เป็นพิษต่อแคช DNS การล้างแคช DNS ของคุณเป็นประจำก็เป็นตัวเลือกที่คุณสามารถพิจารณาได้เช่นกัน

นอกเหนือจากการปรับขนาดระบบความปลอดภัยแล้ว ผู้ดูแลระบบควรอัปเดตฮาร์ดแวร์และซอฟต์แวร์ของตนเพื่อให้ระบบที่มีอยู่มีความปลอดภัย ระบบปฏิบัติการควรได้รับการแก้ไขข้อบกพร่องด้วยการอัปเดตล่าสุด และไม่ควรมีลิงก์ขาออกของบุคคลที่สาม เซิร์ฟเวอร์จะต้องเป็นเพียงอินเทอร์เฟซระหว่างเครือข่ายและอินเทอร์เน็ต และต้องได้รับการปกป้องโดยไฟร์วอลล์ ที่ ดี

• โซลูชันไฟร์วอลล์สำหรับธุรกิจขนาดเล็กและขนาดกลาง

ความ สัมพันธ์ที่เชื่อถือได้ของเซิร์ฟเวอร์ในเครือข่ายจะต้องถูกผลักดันให้สูงขึ้น เพื่อที่จะไม่ร้องขอเซิร์ฟเวอร์อื่นใดสำหรับการแก้ไข DNSด้วยวิธีนี้ เฉพาะเซิร์ฟเวอร์ที่มีใบรับรองของแท้เท่านั้นที่สามารถสื่อสารกับเซิร์ฟเวอร์เครือข่ายในขณะที่แก้ไขเซิร์ฟเวอร์ DNS

ช่วงเวลาสำหรับแต่ละรายการในแคช DNS ควรสั้นเพื่อให้ดึงข้อมูลบันทึก DNS บ่อยขึ้นและอัปเดต นอกจากนี้ยังอาจหมายถึงระยะเวลาที่นานขึ้นเมื่อเชื่อมต่อกับเว็บไซต์ (เป็นครั้งคราวเท่านั้น) แต่จะลดความเสี่ยงในการใช้แคชที่ปนเปื้อน

DNS Cache Lockingควรกำหนดค่าเป็น 90% หรือสูงกว่าบนระบบ Windows ของคุณ การล็อคแคชในWindows Serverช่วยให้คุณควบคุมได้ว่าข้อมูลในแคช DNS จะถูกเขียนทับหรือไม่

ใช้DNS Socket Poolเนื่องจากอนุญาตให้เซิร์ฟเวอร์ DNS สุ่มใช้พอร์ตต้นทางเมื่อออกคำสั่ง DNS สิ่งนี้ให้ความปลอดภัยที่เพิ่มขึ้นจากการโจมตีพิษแคช (ตาม TechNet)

Domain Name System Security Extensions (DNSSEC) - Domain Name System Security Extensions - คือชุดส่วนขยายสำหรับ Windows Server ที่เพิ่มความปลอดภัยเพิ่มเติมให้กับโปรโตคอล DNS

ดูเพิ่มเติม:

• เรียนรู้เกี่ยวกับการโจมตีแบบ Man in the Middle - การจี้เซสชั่น
• เรียนรู้เกี่ยวกับการแย่งชิง DNS และวิธีป้องกัน!
• เรียนรู้เกี่ยวกับการโจมตีแบบ Man-in-the-Middle – การปลอมแปลงแคช ARP