DNS significa "sistema de nomes de domínio" (domain name system) e pode ser descrito como o índice da Internet. Ele permite que os usuários acessem informações traduzindo um nome de domínio (como kaspersky.com) no endereço IP correspondente que um navegador precisa para carregar recursos da Internet (por exemplo, artigos como este). Como sistema, o DNS é usado para rastrear, catalogar e regular sites em todo o mundo.
Para obter uma imagem mais detalhada do que é o DNS, precisamos dar uma olhada em como o DNS funciona. No entanto, é importante primeiro esclarecer os termos envolvidos com este tópico:
Um endereço de Protocolo de Internet (IP) é o número atribuído a cada computador e servidor exclusivo. Esses IDs são usados pelos computadores para localizar e "conversar" uns com os outros.
Um domínio (ou nome de domínio) é um nome de texto que os humanos usam para lembrar, identificar e conectar-se a sites específicos e seus servidores. Por exemplo, um domínio como "www.kaspersky.com" é usado como uma maneira fácil de entender o ID real do servidor de destino, ou seja, um endereço IP.
Os servidores do sistema de nomes de domínio (servidores de DNS ou servidores de nomes de DNS) são um coletivo de quatro tipos de servidores que compõem o processo de "pesquisa de DNS". Eles incluem o servidor de nomes de resolução, servidores de nomes raiz, servidores de nomes de domínio de nível superior (TLD) e servidores de nomes autoritativos. Para entender melhor, vamos detalhar as especificidades de cada um desses servidores:
- O servidor de nomes de resolução (ou resolvedor recursivo) é o componente de tradução do processo de pesquisa de DNS. Ele foi projetado para receber consultas do cliente (através de um navegador da Web ou aplicativo) e, em seguida, comunicá-las a uma série de servidores da Web (listados abaixo) para encontrar o endereço IP de destino de um nome de domínio. Ele pode responder com dados previamente armazenados em cache ou enviar a consulta para um servidor de nomes raiz. O serviço de resolução de nomes está em constante comunicação com os servidores abaixo durante um processo de pesquisa.
- O servidor de nomes raiz (servidor raiz) é onde todas as pesquisas de DNS começam. Se você imaginar o DNS como uma hierarquia, a "zona raiz" estaria no topo. Um servidor raiz é um servidor de nomes de DNS que opera na zona raiz. Ele geralmente serve como ponto de referência no processo de pesquisa.
- O servidor de nomes de domínio de nível superior (TLD) está localizado um nível abaixo da zona raiz. A próxima fase da pesquisa contém informações para todos os nomes de domínio que contêm uma "extensão de domínio" comum, ou seja, .com, .net etc.
- O servidor de nomes autoritativo é a parte final da pesquisa e contém informações específicas para o nome de domínio pesquisado. Ele pode fornecer ao servidor de nomes de resolução o endereço IP correto.
Agora que estabelecemos a definição de DNS e uma compreensão geral do DNS e de seus servidores, podemos explorar exatamente como ele funciona.
Como funciona o DNS?
Quando você pesquisa um site por meio de um nome de domínio em seu navegador, inicia um processo chamado "pesquisa". Toda a jornada de pesquisa tem 6 etapas:
- Seu navegador da Web e sistema operacional (SO) tentam recuperar o endereço IP anexado ao nome de domínio. Se visitado anteriormente, o endereço IP pode ser recuperado do armazenamento interno do computador ou do cache de memória.
- O processo continua se nenhum dos componentes souber onde está o endereço IP de destino.
- O sistema operacional consulta o servidor de nomes de resolução para o endereço IP. Essa consulta inicia a pesquisa na cadeia de servidores do sistema de nomes de domínio para encontrar o IP correspondente para o domínio.
- A consulta chega primeiro ao servidor de nomes raiz, que direciona a consulta para o servidor TLD (através do resolvedor).
- O servidor TLD então passa sua consulta, ou a aponta, para o servidor de nomes autorizado (novamente, por meio do resolvedor).
- Por fim, o resolvedor, por meio da comunicação com o servidor de nomes autoritativo, encontrará e entregará o endereço IP ao sistema operacional, que o repassará ao navegador da Web, fornecendo o site ou a página que você solicitou.
O processo de pesquisa de DNS é a estrutura vital usada por toda a Internet. Infelizmente, os criminosos podem abusar de vulnerabilidades no DNS, o que significa que você precisa estar ciente de possíveis golpes por meio de redirecionamentos, geralmente chamados de "spoofing" e "envenenamento". Para ajudá-lo a evitar essas ameaças, vamos explicar o que são spoofing de DNS e envenenamento de DNS e como eles funcionam.
Definição de spoofing e envenenamento de DNS
O envenenamento e o spoofing do Sistema de Nomes de Domínio (DNS) são tipos de ataque virtual que exploram as vulnerabilidades do servidor de DNS para desviar o tráfego de servidores legítimos para servidores falsos. Depois de navegar até uma página fraudulenta, você pode ficar confuso sobre como resolvê-la – apesar de ser o único que pode fazer isso. Você precisará saber exatamente como isso funciona para se proteger.
O spoofing de DNS e, por extensão, o envenenamento de cache de DNS estão entre as ameaças virtuais mais enganosas. Sem entender como a internet conecta você a sites, você pode se enganar pensando que o próprio site foi hackeado. Em alguns casos, pode ser apenas o seu dispositivo. Pior ainda, os pacotes de segurança virtual só podem impedir algumas das ameaças relacionadas ao spoofing de DNS.
Como funcionam o spoofing e a falsificação de cache de DNS
Em relação ao DNS, as ameaças mais proeminentes são duas:
- O spoofing de DNS é a ameaça resultante que imita destinos de servidor legítimos para redirecionar o tráfego de um domínio. Vítimas desavisadas acabam em sites maliciosos, que é o objetivo resultante de vários métodos de ataques de spoofing de DNS.
- O envenenamento de cache de DNS é um método de spoofing de DNS do usuário final, no qual seu sistema registra o endereço IP fraudulento em seu cache de memória local. Isso leva o DNS a recuperar o site inválido especificamente para você, mesmo que o problema seja resolvido ou nunca tenha existido no servidor.
Métodos para ataques de spoofing de DNS ou envenenamento de cache
Entre os vários métodos para ataques de spoofing de DNS, estes são alguns dos mais comuns:
Ataque man-in-the-middle: onde um invasor se posiciona entre seu navegador da Web e o servidor de DNS. Uma ferramenta é usada para envenenamento de cache simultâneo em seu dispositivo local e envenenamento de servidor no servidor de DNS. O resultado é um redirecionamento para um site malicioso hospedado no próprio servidor local do invasor.
Sequestro de servidor de DNS: o criminoso reconfigura diretamente o servidor para direcionar todos os usuários solicitantes ao site malicioso. Depois que uma entrada DNS fraudulenta é injetada no servidor DNS, qualquer solicitação de IP para o domínio falsificado resultará no site falso.
Envenenamento de cache DNS via spam: o código para envenenamento de cache DNS é frequentemente encontrado em URLs enviados por emails de spam. Esses emails tentam assustar os usuários para que cliquem no URL fornecido que, por sua vez, infecta seu computador. Anúncios em banners e imagens, tanto em emails como em sites não confiáveis, também podem direcionar os usuários para esse código. Uma vez envenenado, seu computador o levará a sites fraudulentos que são falsificados para parecerem reais. É aqui que as verdadeiras ameaças são introduzidas em seus dispositivos.
Riscos do envenenamento e do spoofing de DNS
Aqui estão alguns riscos comuns do envenenamento e do spoofing de DNS:
- Roubo de dados
- Infecção por malware
- Atualizações de segurança interrompidas
- Censura
O spoofing de DNS apresenta vários riscos, cada um colocando seus dispositivos e dados pessoais em perigo.
O roubo de dados pode ser particularmente lucrativo para os invasores de spoofing de DNS. Sites de bancos e lojas online populares são facilmente falsificados, ou seja, qualquer senha, cartão de crédito ou informações pessoais podem ser comprometidos. Os redirecionamentos seriam para sites de phishing projetados para coletar suas informações.
A infecção por malware é outra ameaça comum com o spoofing de DNS. Com um spoofing redirecionando você, o destino pode acabar sendo um site infestado de downloads maliciosos. Conduzir por downloads é uma maneira fácil de automatizar a infecção do seu sistema. Por fim, se você não estiver usando segurança de Internet, estará exposto a riscos como spyware, keyloggers ou worms.
As atualizações de segurança interrompidas podem resultar de um spoofing de DNS. Se os sites falsificados incluírem provedores de segurança da Internet, as atualizações de segurança legítimas não serão realizadas. Como resultado, seu computador pode ficar exposto a ameaças adicionais, como vírus ou cavalos de Troia.
A censura é um risco realmente comum em algumas partes do mundo. Por exemplo, a China usa modificações no DNS para garantir que todos os sites visualizados no país sejam aprovados. Este bloco de nível nacional, apelidado de "Grande Firewall", é um exemplo de como o spoofing de DNS pode ser poderoso.
Especificamente, é difícil eliminar o envenenamento do cache de DNS. Como a limpeza de um servidor infectado não elimina o problema de um desktop ou dispositivo móvel, o dispositivo retornará ao site falsificado. Além disso, áreas de trabalho limpas conectadas a um servidor infectado serão comprometidas novamente.
Como evitar o envenenamento e o spoofing de cache de DNS
Ao procurar impedir o spoofing de DNS, as proteções do usuário final são limitadas. Os proprietários de sites e provedores de servidores têm um pouco mais de poder para proteger a si mesmos e a seus usuários. Para manter todos adequadamente seguros, ambas as partes devem tentar evitar o spoofing.
Veja como evitar esses ataques para proprietários de sites e provedores de serviços de DNS:
- Ferramentas de detecção de spoofing de DNS
- Extensões de segurança do sistema de nomes de domínio
- Criptografia de ponta a ponta
Veja como evitar essas ameaças para usuários de endpoint:
- Nunca clique em um link que você não reconheça
- Verifique regularmente o seu computador em busca de malware
- Limpe seu cache DNS para resolver envenenamentos
- Use uma VPN (rede privada virtual)
Dicas de prevenção para proprietários de sites e provedores de servidores de DNS
Como proprietário de um site ou provedor de servidor de DNS, a responsabilidade de defender os usuários está firmemente em suas mãos. Você pode implementar várias ferramentas e protocolos de proteção para manter as ameaças afastadas. Entre esses recursos, seria sensato usar alguns dos seguintes:
- Ferramentas de detecção de spoofing de DNS: equivalentes aos produtos de segurança do usuário de endpoint, essas ferramentas de detecção verificam proativamente todos os dados recebidos antes de enviá-los.
- Extensões de segurança do sistema de nomes de domínio (DNSSEC): essencialmente um rótulo de DNS de "verificado como real", o sistema DNSSEC ajuda a manter uma pesquisa de DNS autêntica e livre de falsificações.
- Criptografia de ponta a ponta: os dados criptografados, enviados para solicitações e respostas de DNS, mantêm os criminosos afastados, pois não poderão duplicar o certificado de segurança exclusivo do site legítimo.
Dicas de prevenção para usuários
Os usuários são particularmente vulneráveis a esses tipos de ameaças. Para evitar ser vítima de um ataque de envenenamento de DNS, siga estas dicas simples:
- Nunca clique em um link que você não reconheça. Isso inclui email, mensagens de texto ou links em mídias sociais. As ferramentas que encurtam os URLs podem mascarar ainda mais os destinos dos links, portanto, evite isso o máximo possível. Para ser especialmente seguro, opte sempre por inserir manualmente um URL em sua barra de endereço. Mas só faça isso depois de confirmar que é oficial e legítimo.
- Verifique regularmente o seu computador em busca de malware. Embora você não consiga detectar envenenamento de cache de DNS, seu software de segurança o ajudará a descobrir e a remover quaisquer infecções resultantes. Como os sites falsificados podem fornecer todos os tipos de programas maliciosos, você deve sempre verificar se há vírus, spyware e outros problemas ocultos (o inverso também é possível, pois o malware pode fornecer falsificações). Sempre faça isso usando um programa local em vez de uma versão hospedada, já que o envenenamento poderia falsificar os resultados com base na Web.
- Limpe seu cache de DNS para resolver o envenenamento, se necessário. O envenenamento de cache permanece em seu sistema por um longo prazo, a menos que você limpe os dados infectados. Esse processo pode ser tão simples quanto abrir a opção "Executar" do Windows e digitar "ipconfig /flushdns" como seu comando. Mac, iOS e Android também têm opções de descarga. Elas geralmente são encontradas em uma opção de "redefinição das configurações de rede", alternando o modo avião, por meio da reinicialização do dispositivo ou em um URL nativo específico do navegador. Procure o método do seu dispositivo específico para obter orientações.
- Use uma VPN (rede privada virtual). Esses serviços fornecem um túnel criptografado para todo o tráfego da Web e o uso de servidores DNS privados que usam exclusivamente solicitações criptografadas de ponta a ponta. O resultado oferece servidores muito mais resistentes contra spoofing de DNS e solicitações que não podem ser interrompidas.
Não fique vulnerável a ataques de spoofing de DNS e malware. Proteja-se hoje com os produtos Kaspersky Home Security.
Artigos e links relacionados:
- O que é spoofing?
- O que é o pharming e como se proteger?
- O que é endereço IP e o que ele representa?
- Tipos de malware e exemplos de malware
Produtos relacionados: