DNS 는 브라우저의 주소 표시줄에 입력 한 URL(URLs) 을 확인하는 데 중요 합니다. 많은 작업이 도메인 이름 확인(Domain Name Resolution) 에 사용 됩니다. 브라우저가 접근하려는 웹 사이트의 IP 주소를 얻는 데 도움이 되는 일종의 재귀 작업입니다. 관심이 있는 경우 DNS 조회 및 서버(DNS Lookup and Servers) 에 대해 자세히 읽을 수 있습니다 .
DNS 캐시(DNS Cache) 라는 용어 는 자주 방문하는 웹 사이트의 확인된 IP 주소가 포함된 로컬 캐시를 나타냅니다. DNS 캐시(DNS Cache) 의 아이디어는 도달해야 하는 URL 의 실제 IP 주소를 찾기 위해 일련의 재귀 작업을 시작하는 DNS 서버 에 연결하는 데 소요되는 시간을 절약하는 것 입니다. 그러나 이 캐시는 DNS(DNS) 캐시의 항목을 사용하는 웹사이트의 가짜 IP 주소로 변경하는 것만으로 사이버 범죄자에 의해 감염될 수 있습니다.
DNS 하이재킹이란
이름에서 알 수 있듯이 DNS Hijacking 또는 Redirection 은 로드하려는 웹 사이트의 IP 주소를 확인하기 위해 브라우저가 시도하는 것을 가로채기 위해 사이버 범죄자가 사용하는 방법입니다. 사용의 편의를 위해 사용하는 URL(URLs) 은 텍스트 형식입니다. 각 URL 에는 IP 주소가 있으며 일련의 작업은 텍스트 URL 을 숫자 IP 주소로 변환하는 작업으로 이동합니다. IP 주소 확인과 관련된 많은 작업이 있기 때문에 사이버 범죄자는 지연을 이용하여 자신에게 속한 가짜 IP 주소를 컴퓨터에 보낼 수 있습니다.
DNS 하이재킹(common method for DNS Hijacking) 의 가장 일반적인 방법은 DNS 를 변경하는 멀웨어를 컴퓨터에 설치 하여 브라우저가 URL 을 확인(DNS) 하려고 할 때마다 ICANN ((ICANN) Authority of 도메인 등록, 관리, IP 주소 제공, 연락처 주소 유지 등을 담당하는 인터넷 ). (Internet)컴퓨터가 연결하는 직접 DNS 서버는 (DNS)인터넷 서비스 공급자(Internet Service Provider –) 가 운영하는 DNS 서버입니다.(DNS)다른 것으로 변경하지 않는 한. 인터넷 연결을 구입하면 사용 중인 DNS 서버는 ICANN 에서 인식 하는 ISP 의 것 입니다.
컴퓨터의 맬웨어는 다른 IP 주소를 가리키도록 컴퓨터에서 신뢰 하는 기본 DNS 를 변경합니다. (DNS)그렇게 하면 브라우저가 IP 주소를 확인하려고 할 때 컴퓨터 가 잘못된 IP 주소를 제공 하는 가짜 DNS 서버에 접속합니다. (DNS)그 결과 컴퓨터를 손상시키거나 자격 증명 등을 도용할 수 있는 악성 웹사이트가 브라우저에 로드됩니다.
DNS 하이재킹(DNS Hijacking) 대 DNS 캐시(DNS Cache) 중독
둘 다 로컬 수준에서 발생하지만 출처는 가짜 DNS 서버입니다. DNS 하이재킹에는 맬웨어(DNS hijacking involves malware) 가 포함 되지만 DNS 캐시 중독에는 브라우저를 악성 웹사이트로 리디렉션 하는 가짜 값으로 로컬 DNS 캐시를 덮어쓰는 것이 포함됩니다 . (DNS Cache poisoning involves overwriting your local DNS cache with fake values)DNS 캐시 중독 또는 스푸핑 에는 정품 (DNS Cache Poisoning or Spoofing)DNS 서버가 여전히 URL 을 확인 하는 동안 컴퓨터가 선택하는 가짜 IP 주소 폭격과 같은 기술이 포함됩니다 . 즉, 정품 DNS(DNS) 서버가 URL 을 확인 하는 데 걸리는 시간에 사이버 범죄자는 URL 을 가짜 IP 주소와 동일시하는 많은 응답을 보냅니다 .
예를 들어 브라우저에 thewindowsclub.com 을 입력합니다. (thewindowsclub.com)정품 DNS 서버가 주소를 조회할 때 컴퓨터는 사이트가 (DNS)XYZ IP 주소 에 있다는 두 가지 이상의 확인을 받습니다 . 이렇게 하면 사이버 범죄자의 DNS 서버가 (DNS)windowsclub.com(thewindowsclub.com) 에 대한 가짜 IP를 포함하는 많은 응답을 보냈기 때문에 정품 DNS 서버가 정품 IP 주소를 보내 더라도 컴퓨터가 사이트가 XYZ 에 있다고 믿게 만듭니다 .
이 시간 차이는 가짜 DNS 서버가 많은 사이버 범죄자가 컴퓨터를 잘못 기록하고 악의적인 IP 주소를 캐시에 저장하는 데 효과적으로 사용됩니다. 따라서 사이버 범죄자 의 DNS(’ DNS) 서버가 보낸 10개의 가짜 DNS 확인 중 하나가 정품 (DNS)DNS 서버가 보낸 하나의 정품 (DNS)DNS 확인 보다 우선 합니다. DNS 캐시 중독(DNS Cache Poisoning) 및 예방 의 다른 방법은 위에 제공된 링크에 나열되어 있습니다.
DNS Cache Poisoning 과 DNS Hijacking 은 같은 의미로 사용 되지만 약간의 차이가 있습니다. DNS 캐시 중독(DNS Cache Poisoning) 의 방법은 컴퓨터 시스템에 맬웨어를 주입하는 것과 관련이 없지만 가짜 DNS 서버 가 진짜 DNS 서버보다 더 빨리 (DNS)URL 확인 을 보내 캐시가 감염되는 위에서 설명한 것과 같은 다른 방법을 기반으로 합니다. 캐시가 감염되면 감염된 웹 사이트를 사용할 때 컴퓨터가 손상됩니다. DNS Hijacking 의 경우 이미 감염되었습니다. 맬웨어가 기본 DNS 를 변경합니다.(DNS)사이버 범죄자가 원하는 것을 제공합니다. 그리고 거기에서 URL 확인( DNS 조회)을 제어한 다음 (DNS)DNS 캐시 를 계속 감염시킵니다 .
DNS 하이재킹을 방지하는 방법
우리는 이미 DNS 중독을 방지 하는 방법에 대해 논의했습니다. (prevent DNS poisoning)DNS 하이재킹(DNS Hijacking) 을 막거나 방지하려면 DNS 체인저 와 같은 멀웨어를 차단하는 우수한 보안 소프트웨어(good security software) 를 사용하는 것이 좋습니다 . 좋은 방화벽(Firewall) 사용하기 . 하드웨어 기반 방화벽이 가장 좋지만, 방화벽이 없는 경우 최소한 라우터 방화벽을 켤 수 있습니다.
이미 감염되었다고 생각되면 HOSTS 파일(HOSTS file) 의 내용을 삭제하고 Hosts 파일 을 재설정하는(reset the Hosts File) 것이 좋습니다 . 이 작업을 수행한 후 DNS 체인저 를 제거하는 데 도움이 되는 맬웨어 방지 프로그램을 사용하십시오 .
DNS 체인저가 DNS를 변경 했는지(DNS) 확인하십시오 . 있는 경우 DNS 설정을 변경해야 합니다(change your DNS settings) . 자동으로 확인할 수 있습니다. 또는 수동으로 DNS 를 확인할 수 있습니다. 라우터(Router) 에 언급된 DNS 를 확인한 다음 네트워크의 개별 컴퓨터에서 시작합니다. Windows DNS 캐시를 플러시(flush your Windows DNS Cache) 하고 라우터 DNS 를 (DNS)Comodo DNS , Open DNS, Google Public DNS, Yandex Secure DNS, Angel DNS 등과 같은 다른 DNS 로 변경 하는 것이 좋습니다 . 보안 DNS 라우터에서 각 컴퓨터를 구성하는 것보다 낫습니다.
관심을 가질 만한 도구가 있습니다(There are tools that may interest you) . F-Secure Router Checker 는 DNS 하이재킹을 확인하고 이 온라인 도구는 DNS 하이재킹을 확인 하며 WhiteHat Security Tool 은 DNS 하이재킹을 모니터링합니다.
이제 읽기(Now read) : 도메인 도용이란 무엇이며 도용된 도메인을 복구하는 방법입니다.
What is a DNS Hijacking attack & how to prevent it
DNS is important in resolving the URLs you enter into the address bar of your browser. A lot of work goes into Domain Name Resolution. It is a sort of recursive operation that helps your browser get the IP address of the website you are trying to reach out. If interested, you can read more about DNS Lookup and Servers.
The term DNS Cache refers to the local cache that contains the resolved IP addresses of websites that you frequent. The idea of DNS Cache is to save time that would otherwise be spent on contacting DNS servers that would start a set of recursive operations to find out the actual IP address of the URL you need to reach. But this cache can be poisoned by cybercriminals simply by changing the entries in your DNS cache to fake IP addresses for the websites you use.
What is DNS Hijacking
As the name suggests, DNS Hijacking or Redirection is a method used by cybercriminals to hijack your browser’s attempt to resolve the IP address of the website you wish to load. For ease of use, the URLs we use are in text format. For each URL, there is an IP address, and a set of operations go into converting the text URL into a numerical IP address. Since there are many operations involved in resolving the IP address, cybercriminals can take advantage of the delay and send to your computer, a fake IP address that belongs to them.
The most common method for DNS Hijacking is to install malware on your computer that changes the DNS so that whenever your browser tries to resolve a URL, it contacts one of the fake DNS servers instead of real DNS servers that are used by ICANN (authority of Internet that is responsible for registering domains, managing them, providing them with IP addresses, maintaining the contact addresses and more). The direct DNS servers that your computer contacts are the DNS servers being operated by your Internet Service Provider – unless you’ve changed them to something else. When an internet connection is bought, the DNS servers in use are of the ISP – recognized by ICANN.
The malware on your computer changes the default DNS trusted by your computer to point to some other IP address. That way, when your browser tries to resolve an IP address, your computer contacts a fake DNS server that gives you the wrong IP address. This results in your browser loading a malicious website that may compromise your computer or steal your credentials etc.
DNS Hijacking vs. DNS Cache Poisoning
Though both happen at the local level, their origins are from fake DNS servers. While DNS hijacking involves malware, DNS Cache poisoning involves overwriting your local DNS cache with fake values that redirect your browser to malicious websites. DNS Cache Poisoning or Spoofing involves techniques such as the bombardment of fake IP addresses that your computer picks up while the genuine DNS servers are still busy resolving the URL. That is, in the time that takes by genuine DNS servers to resolve a URL, the cybercriminals send plenty of responses that equate the URL with fake IP addresses.
For example, you type thewindowsclub.com in your browser. By the time a genuine DNS server looks up the addresses, your computer receives more than one resolution that the site is at XYZ IP address. This will make your computer believe that the site is at XYZ even though the genuine DNS server sends the genuine IP address because the cybercriminals’ DNS servers sent many responses containing a fake IP for thewindowsclub.com.
This difference in time is used effectively by cybercriminals who have many fake DNS servers to get your computer note down wrong and malicious IP addresses to the cache. So one out of the ten fake DNS resolutions sent by cybercriminals’ DNS servers takes precedence over one genuine DNS resolution sent by the genuine DNS servers. Other methods of DNS Cache Poisoning and prevention are listed in the link provided above.
Though DNS Cache Poisoning and DNS Hijacking are used interchangeably, there is a small difference between them. The method of DNS Cache Poisoning does not involve injecting malware into your computer system but is based on different methods like the one explained above where fake DNS servers send a URL resolution faster than the genuine DNS server and thus the cache is poisoned. Once the cache is poisoned, when you use an infected website, your computer is compromised. In the case of DNS Hijacking, you are already infected. A malware changes your default DNS service provider to something that the cybercriminals want. And from there, they control your URL resolutions (DNS lookups), and then they keep on poisoning your DNS cache.
How to prevent DNS Hijacking
We have discussed how to prevent DNS poisoning already. To stop or prevent DNS Hijacking, it is recommended that you use good security software that keeps malware such as DNS changers away. Using a good Firewall. While a hardware-based firewall is best, if you do not have it, you could turn on your router firewall at the least.
If you think you are already infected, it is better to delete the contents of the HOSTS file and reset the Hosts File. After doing this, go ahead and use antimalware that helps you get rid of DNS Changers.
Check if any DNS changer has changed your DNS. If it has, you should change your DNS settings. You can check it automatically. Alternatively, you can check for the DNS manually. Start by checking the DNS mentioned in Router and then in individual computers on your network. I would recommend that you flush your Windows DNS Cache and change your router DNS to some other DNS like Comodo DNS, Open DNS, Google Public DNS, Yandex Secure DNS, Angel DNS, etc. A secure DNS in the router is better than configuring each computer.
There are tools that may interest you: F-Secure Router Checker will check for DNS hijacking, this online tool checks for DNS Hijackings, and WhiteHat Security Tool monitors DNS hijackings.
Now read: What is Domain Hijacking and how to recover a hijacked domain.