DNS Cache Poisoning และการปลอมแปลง - มันคืออะไร?

DNSย่อมาจากDomain Name Systemซึ่งช่วยเบราว์เซอร์ในการค้นหาที่อยู่ IP ของเว็บไซต์เพื่อให้สามารถโหลดลงในคอมพิวเตอร์ของคุณได้ แคช DNS(DNS cache)เป็นไฟล์ในคอมพิวเตอร์ของคุณหรือของISPที่มีรายการที่อยู่ IP ของเว็บไซต์ที่ใช้งานเป็นประจำ บทความนี้จะอธิบายเกี่ยวกับพิษของแคช DNS และการ(DNS)ปลอมแปลงDNS

DNS Cache Poisoning

ทุกครั้งที่ผู้ใช้พิมพ์URL ของเว็บไซต์ ในเบราว์เซอร์ของตน เบราว์เซอร์จะติดต่อกับไฟล์ในเครื่อง ( DNS Cache ) เพื่อดูว่ามีรายการสำหรับแก้ไขที่อยู่ IP ของเว็บไซต์หรือไม่ เบราว์เซอร์ต้องการที่อยู่ IP ของเว็บไซต์เพื่อให้สามารถเชื่อมต่อกับเว็บไซต์ได้ ไม่สามารถใช้URLเพื่อเชื่อมต่อกับเว็บไซต์ได้โดยตรง จะต้องได้รับการแก้ไขให้เป็นที่ อยู่ IP IPv4 หรือ IPv6ที่เหมาะสม หากมีระเบียน เว็บเบราว์เซอร์จะใช้บันทึกนั้น มิฉะนั้นจะไปที่ เซิร์ฟเวอร์ DNSเพื่อรับที่อยู่ IP สิ่งนี้เรียกว่าการค้นหา DNS(DNS lookup)

แคชDNS ถูกสร้างขึ้นใน คอมพิวเตอร์ ของคุณหรือคอมพิวเตอร์เซิร์ฟเวอร์ DNSของISPเพื่อให้ระยะเวลาที่ใช้ในการสืบค้นDNSของURLลดลง โดยทั่วไป แคช (Basically)DNSเป็นไฟล์ขนาดเล็กที่มีที่อยู่ IP ของเว็บไซต์ต่างๆ ที่ใช้บ่อยบนคอมพิวเตอร์หรือเครือข่าย ก่อนที่จะติดต่อกับ เซิร์ฟเวอร์ DNSคอมพิวเตอร์ในเครือข่ายจะติดต่อกับเซิร์ฟเวอร์ภายในเครื่องเพื่อดูว่ามีรายการอยู่ในแคชDNS หรือไม่ (DNS)หากมีคอมพิวเตอร์จะใช้ มิฉะนั้นเซิร์ฟเวอร์จะติดต่อ เซิร์ฟเวอร์ DNSและดึงที่อยู่ IP จากนั้นจะอัปเดตDNS ในพื้นที่(DNS)แคชด้วยที่อยู่ IP ล่าสุดสำหรับเว็บไซต์

แต่ละรายการใน แคช DNSมีการจำกัดเวลา ขึ้นอยู่กับระบบปฏิบัติการและความถูกต้องของความละเอียดDNS หลังจากช่วงเวลาดังกล่าวหมดลง คอมพิวเตอร์หรือเซิร์ฟเวอร์ที่มีแคชDNS จะติดต่อเซิร์ฟเวอร์ (DNS)DNSและอัปเดตรายการเพื่อให้ข้อมูลถูกต้อง
อย่างไรก็ตาม มีผู้ที่วางยาพิษ แคช DNSสำหรับกิจกรรมทางอาญาได้

การทำให้แคชเป็นพิษ(Poisoning the cache)หมายถึงการเปลี่ยนค่าจริงของURL (URLs)ตัวอย่างเช่น อาชญากรไซเบอร์สามารถสร้างเว็บไซต์ที่ดูเหมือนxyz.comและป้อนบันทึกDNS ใน แคชDNS ของคุณ (DNS)ดังนั้น เมื่อคุณพิมพ์xyz.comในแถบที่อยู่ของเบราว์เซอร์ โปรแกรมหลังจะรับที่อยู่ IP ของเว็บไซต์ปลอมและพาคุณไปที่นั่น แทนที่จะเป็นเว็บไซต์จริง นี้เรียกว่าPharming ด้วยวิธีนี้ อาชญากรไซเบอร์สามารถฟิชเอาข้อมูลรับรองการเข้าสู่ระบบของคุณและข้อมูลอื่นๆ เช่น รายละเอียดบัตร หมายเลขประกันสังคม หมายเลขโทรศัพท์ และอื่นๆ เพื่อขโมยข้อมูลประจำ(identity theft)ตัว DNSการวางยาพิษจะทำเพื่อฉีดมัลแวร์ลงในคอมพิวเตอร์หรือเครือข่ายของคุณ เมื่อคุณเข้าสู่เว็บไซต์ปลอมโดยใช้แคชDNS ที่เป็นพิษ อาชญากรสามารถทำทุกอย่างที่ต้องการ(DNS)

บางครั้ง แทนที่จะเป็นแคชในเครื่อง อาชญากรยังสามารถตั้งค่า เซิร์ฟเวอร์ DNS ปลอม เพื่อที่ว่าเมื่อถูกสอบถาม พวกเขาสามารถให้ที่อยู่ IP ปลอมได้ นี่เป็นการทำลาย DNS(DNS)ระดับสูง และทำให้แคช DNSส่วนใหญ่เสียหายในพื้นที่เฉพาะซึ่งจะส่งผลต่อผู้ใช้จำนวนมากขึ้น

อ่านเกี่ยวกับ(Read about) : Comodo Secure DNS | OpenDNS | Google DNS สาธารณะ(Google Public DNS) | ยานเดกซ์ DNS ที่ปลอดภัย(Yandex Secure DNS) | แองเจิล DNS

การปลอมแปลงแคช DNS

DNS Cache Poisoning และการปลอมแปลง

DNS spoofing is a type of attack that involves impersonation of DNS server responses in order to introduce false information. In a spoofing attack, a malicious user attempts to guess that a DNS client or server has sent a DNS query and is waiting for a DNS response. A successful spoofing attack will insert a fake DNS response into the DNS server’s cache, a process known as cache poisoning. A spoofed DNS server has no way of verifying that DNS data is authentic, and will reply from its cache using the fake information.

DNS Cache Spoofingฟังดูคล้ายกับDNS Cache Poisoningแต่มีความแตกต่างเล็กน้อย DNS Cache Spoofingเป็นชุดของวิธีการที่ใช้ในการพิษแคชDNS นี่อาจเป็นการบังคับให้เข้าสู่เซิร์ฟเวอร์ของเครือข่ายคอมพิวเตอร์เพื่อแก้ไขและจัดการแคชDNC นี่อาจเป็นการตั้งค่า เซิร์ฟเวอร์ DNS ปลอม เพื่อให้มีการตอบกลับปลอมเมื่อมีการสอบถาม มีหลายวิธีที่จะทำให้ แคช DNS เป็นพิษ และหนึ่งในวิธีทั่วไปคือDNS Cache Spoofing(DNS Cache Spoofing)

อ่าน(Read) : จะทราบได้อย่างไรว่าการตั้งค่า DNS ของคอมพิวเตอร์ของคุณถูกบุกรุกโดยใช้ ipconfig

DNS Cache Poisoning – การป้องกัน

มีหลายวิธีในการป้องกันพิษDNS Cache วิธีที่ดีที่สุดคือการปรับขนาดระบบความปลอดภัยของคุณ(scale up your security systems)เพื่อไม่ให้ผู้โจมตีสามารถบุกรุกเครือข่ายของคุณและจัดการแคชDNS ในเครื่องได้ (DNS)ใช้ไฟร์วอลล์ที่ดี(good firewall)ที่สามารถตรวจจับ การโจมตีของ DNS cache poisoning การล้างแคช DNS(Clearing the DNS cache)(Clearing the DNS cache)บ่อยๆ ก็เป็นตัวเลือกที่บางท่านอาจพิจารณาเช่นกัน

นอกเหนือจากการปรับขนาดระบบความปลอดภัย ผู้ดูแลระบบควรอัปเดตเฟิร์มแวร์และซอฟต์แวร์(update their firmware and software)เพื่อให้ระบบรักษาความปลอดภัยเป็นปัจจุบัน ระบบปฏิบัติการควรได้รับการปรับปรุงด้วยการอัพเดทล่าสุด ไม่ควรมีลิงค์ส่งออกของบุคคลที่สาม เซิร์ฟเวอร์ควรเป็นอินเทอร์เฟซเดียวระหว่างเครือข่ายและอินเทอร์เน็ต(Internet)และควรอยู่หลังไฟร์วอลล์ที่ดี

ความสัมพันธ์ที่ไว้วางใจของเซิร์ฟเวอร์(trust relations of servers)ในเครือข่ายควรถูกย้ายขึ้นไปให้สูงขึ้น เพื่อไม่ให้ขอเพียงเซิร์ฟเวอร์ใด ๆ สำหรับ การ แก้ปัญหาDNS ด้วยวิธีนี้ เฉพาะเซิร์ฟเวอร์ที่มีใบรับรองของแท้เท่านั้นที่จะสามารถสื่อสารกับเซิร์ฟเวอร์เครือข่ายในขณะที่แก้ไขเซิร์ฟเวอร์DNS

ระยะเวลา(period)ของแต่ละรายการใน แคช DNSควรสั้น เพื่อให้ มีการดึงข้อมูลระเบียน DNSบ่อยขึ้นและมีการอัปเดต ซึ่งอาจหมายถึงระยะเวลาในการเชื่อมต่อกับเว็บไซต์นานขึ้น (ในบางครั้ง) แต่จะลดโอกาสในการใช้แคชที่เป็นพิษ

DNS Cache Lockingควรกำหนดค่าไว้ที่ 90% หรือมากกว่าในระบบWindows ของคุณ (Windows)การ ล็อกแคช ใน (Cache)Windows Serverช่วยให้คุณสามารถควบคุมว่าจะเขียนทับข้อมูลในแคชDNS ได้หรือไม่ (DNS)ดูTechNetสำหรับข้อมูลเพิ่มเติมเกี่ยวกับเรื่องนี้

ใช้DNS Socket Poolเนื่องจากทำให้ เซิร์ฟเวอร์ DNSใช้การสุ่มพอร์ตต้นทางเมื่อออกคำสั่งDNS สิ่งนี้ช่วยเพิ่มความปลอดภัยจากการโจมตีด้วยพิษของแคชTechNetกล่าว

Domain Name System Security Extensions (DNSSEC)เป็นชุดส่วนขยายสำหรับWindows Serverที่เพิ่มความปลอดภัยให้กับโปรโตคอลDNS คุณสามารถอ่านเพิ่มเติมเกี่ยวกับเรื่องนี้ได้ที่นี่(here)

มีสองเครื่องมือที่คุณอาจสนใจ(There are two tools that may interest you) : F-Secure Router Checkerจะตรวจสอบ DNS hijacking และWhiteHat Security Toolจะตรวจสอบ DNS hijackings

ตอนนี้อ่านแล้ว: (Now read:) DNS Hijacking(What is DNS Hijacking)คืออะไร

ข้อสังเกตและความคิดเห็นยินดีต้อนรับ(Observation and comments are welcome.)



มงคล กาญจนวิภู

About the author

ฉันเป็นมืออาชีพด้านคอมพิวเตอร์ที่มีประสบการณ์การทำงานกับซอฟต์แวร์ Microsoft Office รวมถึง Excel และ PowerPoint ฉันยังมีประสบการณ์กับ Chrome ซึ่งเป็นเบราว์เซอร์ของ Google ทักษะของฉันรวมถึงการสื่อสารที่เป็นลายลักษณ์อักษรและด้วยวาจา การแก้ปัญหา และการคิดอย่างมีวิจารณญาณ


Related posts