Por definição, o envenenamento de cache de DNS, também conhecido como DNS Cache Poisoning, é um tipo de ataque que explora vulnerabilidades no sistema de nomes de domínio (DNS) para desviar o tráfego da internet de servidores legítimos para servidores falsos.

Este ataque é perigoso por dois motivos principais: a dificuldade de identificar o ataque e a velocidade com que ele se espalha. Em 2010, um ataque de DNS Cache Poisoning que atingiu o Grande Firewall da China (responsável por controlar todo o tráfego de internet chinês) escapou das fronteiras do país, chegando até os servidores DNS nos Estados Unidos.

Mas como um DNS Cache Poisoning funciona e o que você pode fazer para evitar que aconteça na sua empresa? É o que abordaremos no artigo de hoje! Acompanhe:

Como funciona o DNS Cache Poisoning?

Para entender como um DNS Cache Poisoning funciona, vamos relembrar primeiro como é o funcionamento de um servidor DNS.

Cada vez que seu navegador recebe um nome de domínio para acessar, ele precisa entrar em contato com o servidor DNS. O servidor DNS funciona como uma lista telefônica — ele mantém um diretório de nomes de domínio e seus respectivos endereços de protocolo, os IPs.

Os IPs são a linguagem utilizada por computadores e máquinas para acessar sites. Basicamente, o servidor DNS converte o nome de domínio em um endereço IP que seu computador pode ler.

Seu provedor de serviços de internet (ISP) executa vários servidores DNS, cada um dos quais armazena em cache informações de outros servidores também. O roteador Wi-Fi também atua essencialmente como um servidor DNS, pois armazena em cache as informações dos servidores do seu ISP.

Um cache DNS é “envenenado” quando o servidor recebe uma entrada incorreta. Isso acontece quando um hacker obtém controle sobre um servidor DNS e faz alterações nas suas informações.

Isso significa que quando um navegador solicita a esse servidor DNS um número de IP para um domínio, o servidor enviará um número errado, para que o usuário seja redirecionado sem que perceba. Em outras palavras, o usuário acha que está inserindo o endereço correto do site, mas acaba sendo enviado para um site de phishing.

Como mencionamos, um dos motivos pelos quais o envenenamento do cache DNS é perigoso é a rapidez com que ele pode se espalhar de um servidor DNS para o outro.

Isso acontece quando vários ISPs recebem suas informações de um servidor DNS “envenenado”, o que resulta na disseminação de dados IPs errados para aqueles ISPs, que armazenarão os dados em cache.

Desse ponto em diante, ele pode se espalhar para outros servidores DNS e roteadores. Os computadores procurarão a entrada DNS apenas para receber a resposta errada, resultando em mais e mais pessoas se tornando vítimas do envenenamento. Somente depois que o cache envenenado for limpo em todos os servidores DNS afetados, o problema será resolvido.

Riscos de um ataque DNS Cache Poisoning

Aqui estão os riscos comuns de envenenamento e falsificação de DNS:

  • O roubo de dados pode ser particularmente lucrativo para invasores de falsificação de DNS. Em geral, eles miram em e-commerces ou sites de bancos, que utilizam dados financeiros, como números de cartão de crédito e dados pessoais sensíveis. Ao redirecionar um usuário para site de phishing que se parecem com o site legítimo que ele está tentando acesso, o usuário insere seus dados, que podem ser roubados pelo hacker;
  • A infecção por malware é outra ameaça comum com o spoofing de DNS. Com um spoof redirecionando o tráfego, o destino pode acabar sendo um site infestado de downloads maliciosos. O drive-by-download é uma maneira fácil de automatizar a infecção do seu sistema. Em última análise, se você não estiver usando medidas de segurança web, estará exposto a riscos como spyware, keyloggers ou worms;
  • As atualizações de segurança interrompidas podem resultar de uma falsificação de DNS, uma vez que o site acessado não será o domínio legítimo. Como resultado, seu computador pode ser exposto a ameaças adicionais, como vírus ou Trojans.

Como se proteger contra o envenenamento de cache?

Como falamos, uma das dificuldades do envenenamento de cache é identificar se as respostas recebidas do servidor DNS são legítimas ou não. Felizmente, existem algumas medidas que sua organização pode tomar para evitar que o DNS Cache Poisoning aconteça com você.

A primeira e a principal delas é configurar corretamente o seu servidor DNS, para que você não precise confiar nos relacionamentos com outros servidores DNS. Isso torna muito mais difícil para um cibercriminoso usar seu servidor para corromper seus alvos, o que significa que seu próprio servidor DNS tem menos probabilidade de ser corrompido e, portanto, você (e todos em sua organização) têm menos probabilidade de ser redirecionado para um site incorreto.

Você também deve fazer outras alterações na configuração do servidor DNS:

  • Limite as consultas recursivas para proteger contra ataques de envenenamento direcionado;
  • Armazene apenas dados relacionados ao domínio solicitado;
  • Restrinja as respostas para fornecer dados apenas sobre o domínio solicitado;
  • Conscientize os usuários para que usem apenas sites com certificado SSL (HTTPS).

Você também deve garantir que a versão mais recente do DNS esteja sendo utilizada, para que assegurar que ela possua os principais recursos de segurança, como randomização de porta e protocolo DNSSEC.

O DNSSEC é um protocolo DNS que criptografa solicitações DNS para evitar falsificações, porém ele torna o processo de DNS mais lento. Já o DNS sobre HTTPS (DoH) é uma especificação que mantém as solicitações de DNS seguras sem sacrificar a velocidade como o DNSSEC. Você pode habilitar esses protocolos em seu navegador.

Agora que você sabe como um ataque de DNS Cache Poisoning funciona e o que fazer para se prevenir, veja também o que é um ataque DDoS e aumente a segurança da sua organização!