DNS rất quan trọng trong việc phân giải các URL^(URLs) bạn nhập vào thanh địa chỉ của trình duyệt. Rất nhiều công việc đi vào giải pháp tên miền^{(Domain Name Resolution)} . Đây là một loại hoạt động đệ quy giúp trình duyệt của bạn nhận được địa chỉ IP của trang web mà bạn đang cố gắng truy cập. Nếu quan tâm, bạn có thể đọc thêm về Tra cứu DNS và Máy chủ^{(DNS Lookup and Servers)} .

Thuật ngữ DNS Cache đề cập đến bộ đệm cục bộ chứa các địa chỉ IP đã được phân giải của các trang web mà bạn thường xuyên sử dụng. Ý tưởng của DNS Cache là để tiết kiệm thời gian nếu không sẽ dành cho việc liên hệ với các máy chủ DNS sẽ bắt đầu một tập hợp các hoạt động đệ quy để tìm ra địa chỉ IP thực của URL mà bạn cần truy cập. Nhưng bộ đệm này có thể bị đầu độc bởi tội phạm mạng chỉ đơn giản bằng cách thay đổi các mục nhập trong bộ đệm DNS của bạn thành địa chỉ IP giả cho các trang web bạn sử dụng.

DNS Hijacking là gì

Như tên cho thấy, Tấn công hoặc Chuyển hướng ^{(Redirection)}DNS^{(DNS Hijacking)} là một phương pháp được tội phạm mạng sử dụng để chiếm đoạt nỗ lực phân giải địa chỉ IP của trang web bạn muốn tải của trình duyệt. Để dễ sử dụng, các URL^(URLs) chúng tôi sử dụng có định dạng văn bản. Đối với mỗi URL , có một địa chỉ IP và một tập hợp các thao tác chuyển đổi URL văn bản thành địa chỉ IP số. Vì có nhiều hoạt động liên quan đến việc phân giải địa chỉ IP, tội phạm mạng có thể lợi dụng sự chậm trễ và gửi đến máy tính của bạn một địa chỉ IP giả thuộc về chúng.

Phương pháp phổ biến nhất cho DNS Hijacking^{(common method for DNS Hijacking)} là cài đặt phần mềm độc hại trên máy tính của bạn để thay đổi DNS để bất cứ khi nào trình duyệt của bạn cố gắng phân giải một URL , nó sẽ liên hệ với một trong những máy chủ DNS giả mạo thay vì máy chủ DNS thực được ICANN sử dụng (cơ quan của Internet chịu trách nhiệm đăng ký miền, quản lý, cung cấp địa chỉ IP, duy trì địa chỉ liên hệ và hơn thế nữa). Các máy chủ DNS trực tiếp mà máy tính của bạn tiếp xúc là các máy chủ DNS do Nhà cung cấp dịch vụ Internet của bạn vận hành -^{(Internet Service Provider –)}trừ khi bạn đã thay đổi chúng thành một cái gì đó khác. Khi kết nối Internet được mua, các máy chủ DNS đang sử dụng là của ISP - được ICANN công nhận .

Phần mềm độc hại trên máy tính của bạn thay đổi DNS^(DNS) mặc định được máy tính của bạn tin cậy để trỏ đến một số địa chỉ IP khác. Bằng cách đó, khi trình duyệt của bạn cố gắng phân giải một địa chỉ IP, máy tính của bạn sẽ liên hệ với một máy chủ DNS giả mạo cung cấp cho bạn địa chỉ IP sai. Điều này dẫn đến việc trình duyệt của bạn tải một trang web độc hại có thể xâm nhập máy tính của bạn hoặc lấy cắp thông tin đăng nhập của bạn, v.v.

Đánh cắp DNS^{(DNS Hijacking)} so với Ngộ độc bộ nhớ cache DNS^{(DNS Cache)}

Mặc dù cả hai đều xảy ra ở cấp địa phương, nhưng nguồn gốc của chúng là từ các máy chủ DNS giả mạo . Trong khi chiếm quyền điều khiển DNS liên quan đến phần mềm độc hại^{(DNS hijacking involves malware)} , ngộ độc DNS Cache liên quan đến việc ghi đè bộ đệm DNS cục bộ của bạn bằng các giá trị giả mạo^{(DNS Cache poisoning involves overwriting your local DNS cache with fake values)} chuyển hướng trình duyệt của bạn đến các trang web độc hại. DNS Cache Poisoning hoặc Spoofing^{(DNS Cache Poisoning or Spoofing)} liên quan đến các kỹ thuật như bắn phá các địa chỉ IP giả mà máy tính của bạn nhận được trong khi các máy chủ DNS chính hãng vẫn đang bận phân giải URL . Có nghĩa là, trong khoảng thời gian mà các máy chủ DNS chính hãng cần để phân giải một URL , tội phạm mạng sẽ gửi nhiều phản hồi cho rằng URL đó với các địa chỉ IP giả.

Ví dụ: bạn nhập thewindowsclub.com trong trình duyệt của mình. Vào thời điểm máy chủ DNS chính hãng tra cứu địa chỉ, máy tính của bạn sẽ nhận được nhiều hơn một độ phân giải mà trang web ở địa chỉ IP XYZ^{(XYZ IP)} . Điều này sẽ làm cho máy tính của bạn tin rằng trang web ở XYZ mặc dù máy chủ DNS chính hãng gửi địa chỉ IP chính hãng vì máy chủ DNS của tội phạm mạng đã gửi nhiều phản hồi có chứa IP giả cho thewindowsclub.com .

Sự khác biệt về thời gian này được sử dụng một cách hiệu quả bởi tội phạm mạng có nhiều máy chủ DNS giả mạo để đưa máy tính của bạn ghi chú các địa chỉ IP sai và độc hại vào bộ nhớ đệm. Vì vậy, một trong số mười độ phân giải DNS giả được gửi bởi các máy chủ ^(DNS)DNS của tội phạm mạng sẽ được ưu tiên hơn một độ phân giải DNS chính hãng được gửi bởi các máy chủ DNS chính hãng . Các phương pháp khác để ngăn chặn và nhiễm độc DNS Cache^{(DNS Cache Poisoning)} được liệt kê trong liên kết được cung cấp ở trên.

Mặc dù DNS Cache Poisoning và DNS Hijacking được sử dụng thay thế cho nhau, nhưng có một sự khác biệt nhỏ giữa chúng. Phương pháp của DNS Cache Poisoning không liên quan đến việc đưa phần mềm độc hại vào hệ thống máy tính của bạn mà dựa trên các phương pháp khác nhau như phương pháp đã giải thích ở trên, trong đó các máy chủ DNS giả mạo gửi độ phân giải URL nhanh hơn máy chủ DNS chính hãng và do đó bộ đệm bị nhiễm độc. Khi bộ nhớ cache bị nhiễm độc, khi bạn sử dụng một trang web bị nhiễm độc, máy tính của bạn sẽ bị xâm nhập. Trong trường hợp DNS Hijacking , bạn đã bị nhiễm virus. Phần mềm độc hại thay đổi DNS^(DNS) mặc định của bạnnhà cung cấp dịch vụ cho một cái gì đó mà tội phạm mạng muốn. Và từ đó, chúng kiểm soát độ phân giải URL của bạn ( tra cứu DNS ), và sau đó chúng tiếp tục đầu độc bộ nhớ cache DNS của bạn.^(DNS)

Cách ngăn chặn DNS Hijacking

Chúng ta đã thảo luận về cách ngăn chặn ngộ độc DNS^{(prevent DNS poisoning)} rồi. Để ngăn chặn hoặc ngăn chặn DNS Hijacking , bạn nên sử dụng phần mềm bảo mật tốt^{(good security software)} giúp tránh xa phần mềm độc hại như trình thay đổi DNS . Sử dụng một Tường lửa^(Firewall) tốt . Mặc dù tường lửa dựa trên phần cứng là tốt nhất, nhưng nếu bạn không có nó, ít nhất bạn có thể bật tường lửa bộ định tuyến của mình.

Nếu bạn cho rằng mình đã bị nhiễm, tốt hơn là xóa nội dung của tệp HOSTS^{(HOSTS file)}  và đặt lại Tệp Máy chủ^{(reset the Hosts File)} . Sau khi thực hiện việc này, hãy tiếp tục và sử dụng phần mềm chống phần mềm độc hại giúp bạn loại bỏ DNS Changers .

Kiểm tra xem có bất kỳ trình thay đổi DNS nào đã thay đổi DNS của bạn hay không . Nếu có, bạn nên thay đổi cài đặt DNS của mình^{(change your DNS settings)} . Bạn có thể kiểm tra nó tự động. Ngoài ra, bạn có thể kiểm tra DNS theo cách thủ công. Bắt đầu bằng cách kiểm tra DNS được đề cập trong Bộ định tuyến^(Router) và sau đó trong các máy tính riêng lẻ trong mạng của bạn. Tôi khuyên bạn nên xóa Windows DNS Cache^{(flush your Windows DNS Cache)} của mình và thay đổi DNS bộ định tuyến của bạn thành một số DNS khác như DNS Comodo , Open DNS, Google Public DNS, Yandex Secure DNS, Angel DNS, v.v. Một DNS an toàn^(DNS)trong bộ định tuyến tốt hơn cấu hình từng máy tính.

Có những công cụ có thể bạn quan tâm^{(There are tools that may interest you)} : F-Secure Router Checker sẽ kiểm tra việc xâm nhập DNS , công cụ trực tuyến này kiểm tra DNS Hijacking và WhiteHat Security Tool giám sát các hành vi xâm nhập DNS.

Bây giờ hãy đọc^{(Now read)} : Đánh cắp tên miền là gì và cách khôi phục tên miền bị tấn công.

What is a DNS Hijacking attack & how to prevent it

DNS is important in resolving the URLs you enter into the address bar of your browser. A lot of work goes into Domain Name Resolution. It is a sort of recursive operation that helps your browser get the IP address of the website you are trying to reach out. If interested, you can read more about DNS Lookup and Servers.

The term DNS Cache refers to the local cache that contains the resolved IP addresses of websites that you frequent. The idea of DNS Cache is to save time that would otherwise be spent on contacting DNS servers that would start a set of recursive operations to find out the actual IP address of the URL you need to reach. But this cache can be poisoned by cybercriminals simply by changing the entries in your DNS cache to fake IP addresses for the websites you use.

What is DNS Hijacking

As the name suggests, DNS Hijacking or Redirection is a method used by cybercriminals to hijack your browser’s attempt to resolve the IP address of the website you wish to load. For ease of use, the URLs we use are in text format. For each URL, there is an IP address, and a set of operations go into converting the text URL into a numerical IP address. Since there are many operations involved in resolving the IP address,  cybercriminals can take advantage of the delay and send to your computer, a fake IP address that belongs to them.

The most common method for DNS Hijacking is to install malware on your computer that changes the DNS so that whenever your browser tries to resolve a URL, it contacts one of the fake DNS servers instead of real DNS servers that are used by ICANN (authority of Internet that is responsible for registering domains, managing them, providing them with IP addresses, maintaining the contact addresses and more). The direct DNS servers that your computer contacts are the DNS servers being operated by your Internet Service Provider – unless you’ve changed them to something else. When an internet connection is bought, the DNS servers in use are of the ISP – recognized by ICANN.

The malware on your computer changes the default DNS trusted by your computer to point to some other IP address. That way, when your browser tries to resolve an IP address, your computer contacts a fake DNS server that gives you the wrong IP address. This results in your browser loading a malicious website that may compromise your computer or steal your credentials etc.

DNS Hijacking vs. DNS Cache Poisoning

Though both happen at the local level, their origins are from fake DNS servers. While DNS hijacking involves malware, DNS Cache poisoning involves overwriting your local DNS cache with fake values that redirect your browser to malicious websites. DNS Cache Poisoning or Spoofing involves techniques such as the bombardment of fake IP addresses that your computer picks up while the genuine DNS servers are still busy resolving the URL. That is, in the time that takes by genuine DNS servers to resolve a URL, the cybercriminals send plenty of responses that equate the URL with fake IP addresses.

For example, you type thewindowsclub.com in your browser. By the time a genuine DNS server looks up the addresses, your computer receives more than one resolution that the site is at XYZ IP address. This will make your computer believe that the site is at XYZ even though the genuine DNS server sends the genuine IP address because the cybercriminals’ DNS servers sent many responses containing a fake IP for thewindowsclub.com.

This difference in time is used effectively by cybercriminals who have many fake DNS servers to get your computer note down wrong and malicious IP addresses to the cache. So one out of the ten fake DNS resolutions sent by cybercriminals’ DNS servers takes precedence over one genuine DNS resolution sent by the genuine DNS servers. Other methods of DNS Cache Poisoning and prevention are listed in the link provided above.

Though DNS Cache Poisoning and DNS Hijacking are used interchangeably, there is a small difference between them. The method of DNS Cache Poisoning does not involve injecting malware into your computer system but is based on different methods like the one explained above where fake DNS servers send a URL resolution faster than the genuine DNS server and thus the cache is poisoned. Once the cache is poisoned, when you use an infected website, your computer is compromised. In the case of DNS Hijacking, you are already infected. A malware changes your default DNS service provider to something that the cybercriminals want. And from there, they control your URL resolutions (DNS lookups), and then they keep on poisoning your DNS cache.

How to prevent DNS Hijacking

We have discussed how to prevent DNS poisoning already. To stop or prevent DNS Hijacking, it is recommended that you use good security software that keeps malware such as DNS changers away. Using a good Firewall. While a hardware-based firewall is best, if you do not have it, you could turn on your router firewall at the least.

If you think you are already infected, it is better to delete the contents of the HOSTS file and reset the Hosts File. After doing this, go ahead and use antimalware that helps you get rid of DNS Changers.

Check if any DNS changer has changed your DNS. If it has, you should change your DNS settings. You can check it automatically. Alternatively, you can check for the DNS manually. Start by checking the DNS mentioned in Router and then in individual computers on your network. I would recommend that you flush your Windows DNS Cache and change your router DNS to some other DNS like Comodo DNS, Open DNS, Google Public DNS, Yandex Secure DNS, Angel DNS, etc. A secure DNS in the router is better than configuring each computer.

There are tools that may interest you: F-Secure Router Checker will check for DNS hijacking, this online tool checks for DNS Hijackings, and WhiteHat Security Tool monitors DNS hijackings.

Now read: What is Domain Hijacking and how to recover a hijacked domain.

Related posts

• Best Các dịch vụ Dynamic DNS miễn phí trên web bạn nên sử dụng

• Windows không thể giao tiếp với các device or resource (DNS server)

• DNSLookupView là một DNS Lookup Tool miễn phí cho máy tính Windows

• Cách bật DNS trên HTTPS trong Windows 10

• Làm thế nào để thay đổi thiết lập DNS Server trên Xbox One để làm cho nó nhanh hơn

• Public DNS Server Tool là DNS changer miễn phí cho Windows 10

• RSAT Missing DNS server Công cụ trong Windows 10

• Không thể thay đổi Static IP address & DNS server trên Windows 10

• DNS Lookup And How DNS Lookup Works

• Cách Clear, Reset, Flush DNS Cache trong Windows 10

• Release TCP/IP, Flush DNS, Reset Winsock, Reset Proxy với Batch File

• DNS Lookup Tools & Online services miễn phí

• Làm thế nào để Fix DNS Server không đáp ứng lỗi

• Máy chủ DNS của bên thứ ba là gì? 8 lý do để sử dụng máy chủ DNS công cộng

• DNS_PROBE_FINISHED_NXDOMAIN error trong Chrome trên Windows 10

• DNS Server của bạn có thể không có sẵn trong Windows 10

• Kích hoạt DNS trên HTTPS trong Firefox, Chrome, Edge, Opera, Android, iPhone

• Cách thay đổi cài đặt DNS trong Windows 10 dễ dàng

• Làm cách nào để kiểm tra xem Router của bạn bị hack hay DNS bị tấn công?

• Cách chuyển sang OpenDNS or Google DNS trên Windows