DNS Spoofing to rodzaj ataku, w którym złośliwy aktor przechwytuje żądanie DNS i zwraca adres prowadzący do własnego serwera zamiast adresu rzeczywistego. Hakerzy mogą użyć fałszowania DNS, aby przeprowadzić atak typu man-in-the-middle. Mogę skierować ofiarę na fałszywą witrynę, która wygląda jak prawdziwa. Mogą również przekierować ruch do prawdziwej witryny i po cichu ukraść informacje.
System nazw domen (DNS) to technologia, która tłumaczy nazwy domen na adres IP serwera, któremu odpowiadają. DNS jest jednym z najważniejszych protokołów infrastrukturalnych Internetu i ma na celu między innymi ułatwienie komunikacji i uwolnienie ludzi od kłopotów z zapamiętywaniem adresu IP każdego serwera, z którym się komunikują. Gdy wpisujesz adres domeny w przeglądarce, żądanie rozwiązania nazwy jest wysyłane do serwera DNS. Następnie wyszukuje on nazwę domeny w swoim katalogu i zwraca adres IP odpowiedniego serwera.
Wykrywanie i blokowanie fałszowania DNS to skomplikowany proces. Istnieje kilka środków, które mogą ochronić Cię przed atakami MitM poprzez fałszowanie DNS.
DNS Spoofing wymaga, aby atakujący miał dostęp do sieci lokalnej. Pierwszym i najważniejszym środkiem jest skonfigurowanie dobrego zabezpieczenia na styku sieci i zapobieganie nieautoryzowanemu dostępowi do sieci lokalnej. Jeśli korzystasz z Wi-Fi w swojej organizacji, możesz skonfigurować zabezpieczenia WPA-enterprise. Wymagają one od każdego łączącego się użytkownika posiadania nazwy użytkownika i hasła zamiast podawania globalnego hasła dla całej sieci.
Innym zabezpieczeniem przed fałszowaniem DNS jest wykorzystanie szyfrowanej komunikacji. Złośliwi aktorzy mogą łatwo sfałszować niezaszyfrowane strony internetowe. Jednak w przypadku komunikacji HTTPS jest to bardzo trudne. Nawet jeśli atakujący mogą przeprowadzić atak fałszowania DNS na witrynę internetową, nie będą w stanie sfałszować certyfikatu, dokumentu cyfrowego, który weryfikuje klucze szyfrowania witryny. Tak więc użytkownik, który był celem fałszowania DNS w zaszyfrowanej witrynie, zobaczy w przeglądarce ostrzeżenie informujące, że nie można zweryfikować certyfikatu odwiedzanej witryny. To charakterystyczny znak ataku MiTM.
