Veiligheid

Wat is DNS-kaping en hoe kunnen we het voorkomen?

0 1.187 7 minuten om te lezen

Tegenwoordig weet iedereen wat internet is en hoe je op websites navigeert. Wat veel gebruikers niet weten, is dat wanneer we een webadres invoeren, DNS-servers verantwoordelijk zijn voor het vertalen van die domeinnaam naar een IP-adres. In RedesZone hebben we verschillende zeer interessante artikelen over hoe het werkt, maar vandaag willen we het hebben over een van de meest voorkomende aanvallen die bekend staat als DNS-kaping.

Zoals we in verschillende artikelen hebben besproken, werkt het Domain Name System (DNS) door DNS-namen te vertalen naar IP-adressen. Dat wil zeggen, de gebruiker schrijft het adres van de website die hij wil bezoeken en de DNS-server zorgt ervoor dat het wordt omgezet in een IP-adres. Wanneer we een webpagina openen en de website die we willen bezoeken in de adresbalk schrijven, voeren we een domeinnaam in de browser in. De browser weet niet wat het IP-adres van de opgevraagde website is en stuurt vervolgens een verzoek om informatie naar de DNS-servers, tenzij deze deze in de cache heeft om eerder toegang te krijgen tot deze website.

Dit is wanneer DNS-kaping binnenkomt, wat de oplossing is van het verzoek van onze browser om informatie, dat wordt opgelost door een DNS-server die wordt beheerd door cybercriminelen. Deze aanval wordt meestal uitgevoerd in combinatie met de populaire ARP-spoofing, om al het verkeer naar de computer van de aanvaller te leiden en te "luisteren" en alle informatie die er doorheen gaat te manipuleren.

We moeten duidelijk zijn over het meest kritieke moment, en dat is wanneer we een webadres invoeren in de adresbalk van onze favoriete browser, omdat deze dan informatie zal opvragen bij de DNS-servers. Dit DNS-verzoek is op geen enkel moment versleuteld en kan direct worden onderschept en gewijzigd om ons webverzoek om te leiden naar het gewenste IP-adres.

Om deze reden werden protocollen geboren om de veiligheid van DNS-query's en hun antwoorden te garanderen, zoals DNS via TLS en ook DNS via HTTPS. In RedesZone hebben we een volledige lijst van: beste DoT- en DoH DNS-servers die we op onze computers kunnen configureren.

Router hacken

Maar daar houdt het probleem niet op, aangezien een andere methode ook wordt gebruikt om onze router te kapen. Onthoud dat onze webbrowser, bij het zoeken naar informatie over het websiteverzoek, eerst de cache doorzoekt, vervolgens het hosts-bestand en ten slotte de query doorstuurt naar de DNS-servers die zijn opgegeven door de gebruiker of de router in DHCP-modus. Dit kan meestal gebeuren in routers waar gebruikers standaard toegangsgegevens achterlaten of in ISP-routers.

Zodra een cybercrimineel erin is geslaagd toegang te krijgen tot onze router, volstaat het om de configuratie van de DNS-servers in de routerconfiguratie te wijzigen, en dit heeft invloed op alle computers die verbinding maken met de router via het DHCP-protocol.

Zodra dit is gebeurd, wordt elke zoekopdracht op het web, naar elke computer in ons netwerk die de DHCP-server van de router gebruikt, omgeleid naar DNS-servers die worden beheerd door cybercriminelen.

Verwijdering van ons team

Als je dacht dat ze je niet langer voor de gek konden houden met DNS-servers, is een andere veel voorkomende vorm van aanval het kapen van de computer van de gebruiker. Dit houdt in dat de computer van de gebruiker wordt geïnfecteerd door specifieke trojans te injecteren die toegang hebben tot de DNS-configuratie van de computer en de configuratie ervan wijzigen, waardoor elk browserverzoek wordt omgeleid naar waar de cybercrimineel ze wil hebben.

Dit detecteren zou heel eenvoudig zijn, omdat het voldoende zou zijn om de Windows-netwerkconfiguratie in te voeren (u kunt binnenkomen door het commando ncpa.cpl uit te voeren in de run-knop van het startmenu) en te zien welke DNS-servers we hebben.

Rogue DNS-kaping

Een ander, meer gecompliceerd type aanval is Rogue Hijack DNS. In dit geval valt deze aanval nooit rechtstreeks de gebruiker aan, maar valt de aanvaller rechtstreeks de DNS-server aan en kaapt deze. Dit is echt heel gevaarlijk, want elke gebruiker die de geïnfecteerde DNS-server gebruikt, loopt gevaar, en het ergste van alles is dat ze het onder geen enkele omstandigheid kunnen weten.

Gelukkig zoekt de cybercrimineel wanneer dit gebeurt naar zeer specifieke vragen die de DNS-server bereiken. We moeten ook in gedachten houden dat het erg moeilijk is om met succes een DNS-server aan te vallen en te kapen, zoals die van Google of Cloudflare, omdat ze voldoen aan zeer hoge beveiligingsnormen en -protocollen.

In het ergste geval, als een cybercrimineel de controle over een DNS-server overneemt, lopen miljoenen gebruikers gevaar.

De gevaren van geïnfecteerde DNS

Nadat we alle manieren hebben gezien om een ​​DNS-systeem te infecteren, is het tijd om te praten over de gevaren die dit met zich mee kan brengen. Een heel eenvoudig voorbeeld zou zijn dat het IP-adres waarnaar de cybercrimineel ons doorverwijst, ons naar een website leidt die onze computer infecteert met een virus, kwaadaardige code of een Trojaans paard. Maar in werkelijkheid, en om veel kalmer te zijn, wordt dit type aanval tegenwoordig niet meer gebruikt, maar wordt er meer gebruik gemaakt van phishing of pharming. Maar dat betekent niet dat het niet erg belangrijk is dat je weet hoe ze werken en hoe het je kan beïnvloeden als dit soort aanvallen op een dag weer een rage wordt bij hackers.

  • Phishing : we moeten weten dat phishing een exacte replica is van de website die we willen bezoeken, en normaal gesproken zijn dit websites zoals banken. Waar criminelen in geïnteresseerd zijn, is dat we de inloggegevens van 'toegang' invoeren om deze te kunnen stelen. Dit gebeurt met elke website die ons om inloggegevens vraagt. We moeten weten dat zodra de inloggegevens zijn ingevoerd, de crimineel deze automatisch ontvangt en de website ons vervolgens doorverwijst naar de echte website waar ze ons opnieuw om de inloggegevens zullen vragen, en de gebruiker zal denken dat dit een websitefout is. , en zal terugkomen om de inloggegevens in te voeren en u hebt goede toegang zonder dat de gebruiker vermoedt dat hij het slachtoffer is geworden van een phishing-aanval.

We moeten weten dat een phishing-aanval kan plaatsvinden zonder dat de DNS wordt geïnfecteerd. Dit gebeurt meestal, inclusief het klikken op links in valse e-mails. Een makkelijke manier om dit te detecteren is door in de adresbalk te kijken naar welke website we eigenlijk kijken. Als het domein waartoe we toegang willen hebben inderdaad is gehackt, is het echter bijna onmogelijk om het te detecteren.

  • Pharming : u moet weten dat pharming erin bestaat het verzoek van de internetgebruiker om te leiden naar een site vol advertenties. Het heeft geen directe invloed op de gebruiker, maar het kan erg vervelend zijn. Aan de andere kant is het voor de crimineel ideaal, want dankzij deze advertenties verdienen ze bij elk bezoek geld, en het is voor hen een heel eenvoudige manier om veel geld te verdienen dankzij het omleiden van DNS-verzoeken. volledige lijstsite.

Zoals te zien is, zou de laatste methode het minst gevaarlijk zijn voor de gebruiker, omdat het enige dat hen zal beïnvloeden, is dat ze veel advertenties zullen zien, maar gelukkig zullen ze geen gegevens stelen.

Een ander type DNS-hack dat zou kunnen worden overwogen, is de hack die sommige regeringen in bepaalde landen hun burgers aandoen, waardoor de toegang wordt geblokkeerd tot websites die de overheid zelf niet geschikt acht om door haar burgers te worden bezocht. In dit geval, wanneer een burger probeert toegang te krijgen tot een gecensureerde website, wordt hij meestal op de hoogte gebracht van de blokkering, dus er zijn enkele gebruikers die dit niet als een "DNS-kaping" beschouwen.

FAI

Een ander type DNS-kaping is er een die optreedt wanneer een gebruiker toegang probeert te krijgen tot een website en deze niet kan laden, waarbij een foutmelding wordt weergegeven. Dit gebeurt meestal in landen waar piraterij overwegend wordt vervolgd, en dit soort websites worden meestal geblokkeerd door rechterlijke uitspraken.

De melding die normaal verschijnt, is hetzelfde als wanneer we proberen toegang te krijgen tot een website en een fout maken in het webadres en het web ons niet laadt. Om dit te voorkomen, zijn er methoden om DNS-blokkades te omzeilen, zoals het gebruik van een VPN of het wijzigen van de DNS-adressen die we gebruiken. In dit artikel leggen we de beste DNS-beleid zonder registratie die je kunt gebruiken.

Hoe kunnen we onszelf beschermen?

U vraagt ​​zich waarschijnlijk af hoe u uzelf kunt beschermen tegen dit soort DNS-kapingaanvallen. De manieren om DNS-query's af te handelen zijn zo verschillend, dat we een reeks voorzorgsmaatregelen moeten nemen die we hieronder zullen zien, om de verschillende aanvallen zoveel mogelijk te beperken.

  • Routertoegangsgegevens wijzigen: het eerste wat we moeten doen is zowel de gebruikersnaam als het wachtwoord wijzigen om toegang te krijgen tot onze router, als de router ons niet toestaat om van gebruiker te veranderen en dat het "admin" moet zijn, verander dan alleen het wachtwoord. Allereerst moeten we sterke wachtwoorden gebruiken.
  • De firmware van de router bijwerken: het heeft geen zin om de toegangsgegevens naar de router te wijzigen, als later blijkt dat we de router hebben zonder te updaten, en dus zonder de verschillende beveiligingsproblemen op te lossen die worden opgelost met het bijwerken van de firmware van de router .
  • Zorg voor een goede antivirus: met betrekking tot onze computerapparatuur is het erg belangrijk om beschermd te zijn, en daarom is het erg belangrijk om een ​​goede antivirus op onze computer te hebben geïnstalleerd, die de bestanden en onze activiteiten op internet en op ons netwerk analyseert .
  • Zorg voor een firewall: een ander zeer belangrijk punt is dat er een firewall op onze apparatuur is geïnstalleerd en geactiveerd die de inkomende en uitgaande verbindingen van onze apparatuur controleert.
  • Gebruik veilige DNS-protocollen zoals DNS via TLS of DNS via HTTPS, waarbij alle verzoeken en antwoorden end-to-end versleuteld worden verzonden.
  • Gebruik een VPN: als we meer veiligheid willen, raden we je aan een VPN te gebruiken voor je verbindingen, zodat al het verkeer versleuteld wordt vanaf de bron (ons) naar de VPN-server waar we verbinding mee hebben gemaakt. Dit is vooral belangrijk als u verbinding maakt met internet vanaf openbare plaatsen, zoals luchthavens, cafés, restaurants, enz. Dankzij dit systeem zullen we vooral de aanvallen van Man in the Middle vermijden.

Nadat we de verschillende manieren hebben gezien om onze DNS te kapen, en de mogelijke oplossingen hebben gezien om jezelf te beschermen, kunnen we je alleen maar adviseren dat de beste manier om jezelf te beschermen is om niet op vreemde links te klikken, en vooral om te weten wat sites die we betreden. Probeer tot slot altijd websites te bezoeken die het HTTPS-protocol gebruiken, aangezien alle verbindingen end-to-end versleuteld zijn.

0 1.187 7 minuten om te lezen

Vergelijkbare items

Foto van militaire achtergrondcontrole: wat laat een Amerikaanse militaire achtergrondcontrole zien?

Militaire achtergrondcontrole: wat laat een Amerikaanse militaire achtergrondcontrole zien?

December 29, 2020
Foto van de beste internetzoekmachines die door hackers worden gebruikt

De beste internetzoekmachines die door hackers worden gebruikt

Juni 22, 2021
Foto van WireGuard VPN: installeer en configureer de beste VPN die er is

WireGuard VPN: de beste VPN installeren en configureren VPN

Juni 21, 2021
Foto van Alles wat u moet weten voordat u IoT-apparaten installeert

Alles wat u moet weten voordat u IoT-apparaten installeert

Juni 22, 2021

Laat een reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

Terug naar boven knop