Empoisonnement du cache DNS et usurpation d'identité
DNS signifie Domain Name System, ce qui aide un navigateur à déterminer l'adresse IP d'un site Web afin qu'il puisse la charger sur votre ordinateur.. Cache DNS est un fichier sur votre ordinateur ou celui de votre fournisseur de services Internet contenant une liste d'adresses IP de sites Web régulièrement utilisés. Cet article explique l’intoxication par le cache DNS et l’usurpation DNS..
Empoisonnement du cache DNS
Chaque fois qu'un utilisateur tape l'URL d'un site Web dans son navigateur, ce dernier contacte un fichier local (cache DNS) pour savoir s'il existe une entrée permettant de résoudre l'adresse IP du site Web. Le navigateur a besoin de l'adresse IP des sites Web pour pouvoir se connecter au site. Il ne peut pas simplement utiliser l'URL pour se connecter directement au site Web. Il doit être résolu en une adresse IP IPv4 ou IPv6 appropriée. Si l'enregistrement est là, le navigateur Web l'utilisera; sinon, il ira à un serveur DNS pour obtenir l'adresse IP. Ceci s'appelle la recherche DNS.
Un cache DNS est créé sur votre ordinateur ou sur le serveur DNS de votre fournisseur de services Internet afin de réduire le temps passé à interroger le DNS d'une adresse URL. Fondamentalement, les caches DNS sont de petits fichiers contenant l'adresse IP de différents sites Web fréquemment utilisés sur un ordinateur ou un réseau. Avant de contacter les serveurs DNS, les ordinateurs d'un réseau contactent le serveur local pour savoir s'il existe une entrée dans le cache DNS. S'il y en a un, les ordinateurs l'utiliseront; sinon, le serveur contactera un serveur DNS et récupérera l'adresse IP. Ensuite, il mettra à jour le cache DNS local avec la dernière adresse IP du site Web..
Chaque entrée dans un cache DNS a une limite de temps définie, en fonction des systèmes d'exploitation et de la précision des résolutions DNS. Une fois la période écoulée, l'ordinateur ou le serveur contenant le cache DNS contactera le serveur DNS et mettra à jour l'entrée pour que les informations soient correctes..
Cependant, certaines personnes peuvent empoisonner le cache DNS pour activité criminelle.
Empoisonner la cache signifie changer les valeurs réelles des URL. Par exemple, les cybercriminels peuvent créer un site Web ressemblant par exemple à, xyz.com et entrez son enregistrement DNS dans votre cache DNS. Ainsi, lorsque vous tapez xyz.com dans la barre d'adresse du navigateur, ce dernier récupérera l'adresse IP du faux site Web et vous y conduira au lieu du vrai site Web. Ceci s'appelle Pharming. En utilisant cette méthode, les cybercriminels peuvent pirater vos identifiants de connexion et d’autres informations telles que les détails de la carte, le numéro de sécurité sociale, les numéros de téléphone et plus encore en cas de vol d’identité. L’empoisonnement DNS est également utilisé pour injecter des logiciels malveillants dans votre ordinateur ou votre réseau. Une fois que vous arrivez sur un faux site Web en utilisant un cache DNS empoisonné, les criminels peuvent faire tout ce qu'ils veulent..
Parfois, au lieu du cache local, les criminels peuvent également configurer de faux serveurs DNS afin de pouvoir, lorsqu’ils sont interrogés, donner de fausses adresses IP. C'est un empoisonnement DNS de haut niveau qui corrompt la plupart des caches DNS dans une zone particulière, affectant ainsi de nombreux autres utilisateurs..
Lire à propos de: DNS sécurisé Comodo | OpenDNS | DNS public Google | Yandex Secure DNS | Angel DNS.
Usurpation de cache DNS
L'usurpation DNS est un type d'attaque qui implique l'emprunt d'identité des réponses du serveur DNS afin d'introduire de fausses informations. Lors d'une attaque d'usurpation d'identité, un utilisateur malveillant tente de deviner qu'un client ou un serveur DNS a envoyé une requête DNS et attend une réponse DNS. Une attaque par usurpation réussie insérera une fausse réponse DNS dans le cache du serveur DNS, processus appelé empoisonnement du cache. Un serveur DNS usurpé n'a aucun moyen de vérifier que les données DNS sont authentiques et répondra à partir de son cache en utilisant les fausses informations..
L'espionnage du cache DNS ressemble à celui de l'empoisonnement du cache DNS, mais il y a une petite différence. Spoofing de cache DNS est un ensemble de méthodes utilisées pour empoisonner un cache DNS. Cela peut être une entrée forcée sur le serveur d'un réseau informatique pour modifier et manipuler le cache DNC. Cela pourrait être la configuration d’un faux serveur DNS afin que de fausses réponses soient envoyées lorsqu’elles sont interrogées. Il existe de nombreuses façons d'empoisonner un cache DNS, et l'une des méthodes les plus courantes est l'usurpation de cache DNS..
Lis: Comment savoir si les paramètres DNS de votre ordinateur ont été compromis avec ipconfig.
Empoisonnement de cache DNS - Prévention
Il n'y a pas beaucoup de méthodes disponibles pour empêcher l'empoisonnement du cache DNS. La meilleure méthode consiste à Élargissez vos systèmes de sécurité afin qu'aucun attaquant ne puisse compromettre votre réseau et manipuler le cache DNS local. Utiliser un bon pare-feu qui peut détecter les attaques d'empoisonnement du cache DNS. Effacement du cache DNS est souvent aussi une option que certains d’entre vous pourraient envisager.
Outre le renforcement des systèmes de sécurité, les administrateurs doivent mettre à jour leurs microprogrammes et logiciels maintenir les systèmes de sécurité à jour. Les systèmes d'exploitation doivent être corrigés avec les dernières mises à jour. Il ne devrait pas y avoir de lien sortant tiers. Le serveur doit être la seule interface entre le réseau et Internet et doit être protégé par un bon pare-feu..
le relations de confiance des serveurs dans le réseau doivent être déplacés plus haut de sorte qu'ils ne demandent pas n'importe quel serveur pour les résolutions DNS. De cette façon, seuls les serveurs avec des certificats authentiques pourraient communiquer avec le serveur de réseau lors de la résolution des serveurs DNS..
le période Le cache de chaque entrée dans le cache DNS doit être court afin que les enregistrements DNS soient extraits plus fréquemment et mis à jour. Cela peut impliquer de plus longues périodes de connexion à des sites Web (parfois), mais réduit les chances d'utiliser un cache empoisonné..
Verrouillage du cache DNS doit être configuré à 90% ou plus sur votre système Windows. Le verrouillage du cache dans Windows Server vous permet de contrôler si les informations contenues dans le cache DNS peuvent être écrasées. Voir TechNet pour plus d'informations à ce sujet..
Utilisez le Pool de sockets DNS car il permet à un serveur DNS d’utiliser la randomisation du port source lors de l’envoi de requêtes DNS. Ceci assure une sécurité renforcée contre les attaques par empoisonnement de cache, déclare TechNet.
DNSSEC (Domain Name System Security Extensions) est une suite d'extensions pour Windows Server qui ajoute de la sécurité au protocole DNS.Vous pouvez en savoir plus à ce sujet ici.
Deux outils peuvent vous intéresser: F-Secure Router Checker vérifie le piratage DNS et WhiteHat Security Tool surveille les piratages DNS.
Maintenant lis: Qu'est-ce que le piratage DNS??
Observation et commentaires sont les bienvenus.