O que é envenenamento de cache de DNS?

Envenenamento de cache de DNS, também conhecido como ataque de falsificação de DNS, é um tipo de ataque cibernético no qual os usuários que tentam acessar um website legítimo são redirecionados para um website completamente diferente, geralmente para fins mal-intencionados. Quando um usuário insere o nome de um website em um navegador da Web, os resolvedores de DNS fornecem o endereço IP, permitindo que o website correto seja carregado. Ao alterar ou substituir os dados armazenados na memória cache de um resolvedor de DNS, os invasores podem enviar os usuários a websites falsos ou maliciosos para roubar suas credenciais ou dados pessoais.

O DNS converte endereços de websites legíveis por humanos, como exemplo.com, em endereços IP legíveis por máquina. Esse sistema permite que os usuários naveguem na Web sem precisar se lembrar de longas sequências de números sem sentido para cada website.

O DNS usa vários tipos de servidores de nomes de domínio. Os servidores de nomes autoritativos armazenam os registros oficiais de domínios específicos. Os resolvedores ou servidores de DNS recursivos atendem às solicitações iniciais dos usuários e consultam servidores DNS autoritativos, se necessário.

Para habilitar respostas de DNS mais rápidas, os servidores recursivos armazenam informações de solicitações anteriores em um cache local, permitindo que as informações sejam recuperadas mais rapidamente nas próximas solicitações.

Em um ataque de envenenamento de cache de DNS, os agentes de ameaça usam uma variedade de técnicas para substituir os endereços legítimos dentro de um cache de DNS por endereços de DNS falsos. Quando os usuários tentam acessar um website legítimo, o resolvedor de DNS retorna o endereço falso em seu cache, sequestrando a sessão do navegador e enviando o usuário a um website falso ou mal-intencionado.

Os invasores podem sequestrar diretamente um servidor de DNS para redirecionar o tráfego de websites legítimos para endereços IP mal-intencionados. Os hackers também podem usar malware que altera o cache de DNS em um navegador quando os usuários clicam em links mal-intencionados. Como alternativa, os agentes de ameaça podem usar um "ataque machine-in-the-middle" para se posicionarem entre um navegador e um servidor de DNS para direcionar solicitações a um endereço IP mal-intencionado.

Muitos invasores usam o envenenamento de cache para executar campanhas de phishing, configurando websites falsos que parecem idênticos ao website que o usuário está tentando visitar. Quando o usuário insere credenciais de login ou informações confidenciais no website, os invasores podem usar esses dados para acessar a conta do usuário e roubar dinheiro ou dados ou iniciar ataques maiores.

Como ele foi criado para retornar com precisão os resultados às consultas em vez de questionar seus motivos, o DNS é um protocolo fundamentalmente desprotegido. Além disso, o tráfego de DNS geralmente pode passar por firewalls sem inspeção, tornando-o um atraente vetor de ataque para hackers.

Embora os termos envenenamento de cache de DNS e falsificação de DNS sejam frequentemente usados de forma intercambiável, algumas pessoas sugerem que envenenamento é um método de ataque e falsificação é o resultado final. Em outras palavras, os invasores usam envenenamento de cache de DNS para alcançar a falsificação de DNS.

Os sinais indicadores de um ataque de envenenamento de cache de DNS são uma queda única e inesperada no tráfego da Web ou grandes alterações na atividade de DNS em um domínio. É difícil detectar o envenenamento de cache de DNS manualmente. A implantação de ferramentas de segurança de DNS automatizadas é a maneira mais eficaz de fazer isso.

As organizações podem impedir o envenenamento de DNS seguindo várias práticas recomendadas de cibersegurança.

• Use a abordagem DNSSEC. As extensões de segurança do sistema de nome de domínio (DNSSEC) oferecem uma maneira de verificar a integridade dos dados de DNS. DNSSEC usa criptografia de chave pública para verificar e autenticar dados.
• Atualize e aplique patches regularmente ao software de DNS. Estabelecer uma cadência ideal para atualizar e aplicar patches em aplicações de DNS reduz a chance de os invasores explorarem vulnerabilidades conhecidas ou de dia zero.
• Adote o HTTPS para tráfego de DNS. O DNS sobre HTTPS (DoH) criptografa o tráfego de DNS passando consultas por uma sessão criptografada de HTTPS para melhorar a privacidade e ocultar consultas de DNS da visualização.
• Use uma abordagem Zero Trust ao configurar servidores de DNS. Os princípios de Zero Trust exigem que todos os usuários, dispositivos, aplicações e solicitações sejam considerados comprometidos, a menos que sejam autenticados e continuamente validados. O DNS é um valioso ponto de controle Zero Trust, em que cada endereço da Internet pode ser verificado quanto a comportamento potencialmente mal-intencionado.
• Escolha um resolvedor de DNS rápido e resistente a DoS. Os ataques de envenenamento de cache dependem de respostas de servidores de DNS atrasadas, de modo que um resolvedor rápido pode ajudar a impedir que ataques sejam bem-sucedidos. O resolvedor de DNS também deve ter controles de envenenamento de cache integrados. Os principais provedores de serviços de internet (ISPs) e de DNS têm a escala para absorver ataques DDoS.