6Aug
DNS-gyorsítótár mérgezés, más néven DNS spoofing, olyan típusú támadás, amely kihasználja a domain név rendszer( DNS) sebezhetőségét, hogy az internetes forgalmat legitim szerverekről és hamisítványok felé irányítsa.
Az egyik oka annak, hogy a DNS mérgezés olyan veszélyes, mert terjedhet a DNS szerverről a DNS szerverre.2010-ben egy DNS-mérgezési esemény azt eredményezte, hogy a Kínai Nagy Tűzfal átmenetileg elhagyta a kínai határokat, cenzúrázva az internetet az USA-ban, amíg a probléma megoldódott.
Hogyan működik a DNS
Amikor a számítógép egy olyan domainnevet érint, mint a "google.com", először kapcsolatba kell lépnie a DNS szerverével. A DNS-kiszolgáló egy vagy több IP-címmel válaszol, ahol a számítógép elérheti a google.com webhelyet. A számítógép közvetlenül csatlakozik ehhez a számszerű IP-címhez. A DNS emberi olvasható címeket, például a "google.com" -ot számítógéppel olvasható IP-címekké alakítja, mint a "173.194.67.102".
- További információ: HTG magyarázza: Mi a DNS?
DNS Caching
Az internet nem csak egyetlen DNS-kiszolgálóval rendelkezik, mivel ez rendkívül hatékony lenne. Internetszolgáltatója saját DNS-kiszolgálókat futtat, amelyek gyorsítótárakat más DNS-kiszolgálókról. Az otthoni útválasztó DNS-kiszolgálóként működik, amely információkat tárol az internetszolgáltató DNS-kiszolgálóiról. A számítógépen helyi DNS-gyorsítótár található, így gyorsan megkeresheti a DNS-lekérdezést, amely már végrehajtotta a DNS-keresést, nem pedig újra és újra.
DNS gyorsítótár mérgezés
A DNS-gyorsítótár mérgező lehet, ha helytelen bejegyzést tartalmaz. Ha például egy támadó DNS-kiszolgáló irányítását választja és megváltoztatja néhány információt - például azt mondhatják, hogy a google.com valójában egy olyan IP-címet jelöl meg, amelyet a támadó birtokol -, hogy a DNS-kiszolgáló megmondja a felhasználóknak, hogy nézzenek mega Google.com webhelyen rossz címre. A támadó címe tartalmazhat valamiféle rosszindulatú adathalász webhelyet, így az
DNS mérgezés is elterjedhet. Például ha különböző internetszolgáltatók DNS-adatokat kapnak a kiszolgált kiszolgálóról, akkor a mérgezett DNS-bejegyzés az internetszolgáltatókra terjeszkedik és ott tárolódik. Ezután átterjed a hazai forgalomirányítókra és a DNS-tárolókra a számítógépeken, amikor megkeresi a DNS-bejegyzést, megkapja a helytelen választ, és tárolja.
Kína nagy tűzfalát terjeszti az USA-ba
Ez nem csak elméleti probléma - a valóságban nagy léptékben történt. Az egyik módja annak, hogy a kínai nagy tűzfal működik a DNS szintjén blokkolva. Például egy Kínában blokkolt weboldal, például a twitter.com, DNS-nyilvántartása lehet, hogy a DNS-kiszolgálókon helytelen címet mutatott ki Kínában. Ez azt eredményezné, hogy a Twitter nem elérhető a szokásos módon. Gondolj erre, mivel Kína szándékosan mérgezi meg saját DNS-kiszolgáló gyorsítótárát.
2010-ben egy Kínán kívüli internetszolgáltató hibásan konfigurálta DNS-kiszolgálóit, hogy információt szerezzen a DNS-kiszolgálókról Kínában. Megkapták a helytelen DNS-rekordokat Kínából, és tárolták őket saját DNS-kiszolgálókon. Más internetszolgáltatók DNS-adatokat gyűjtöttek az internetszolgáltatótól, és DNS-kiszolgálókon használták. A mérgezett DNS bejegyzések tovább terjedtek, amíg az Egyesült Államok egyes tagjait megakadályozták a Twitteren, a Facebookon és a YouTube-on az amerikai internetes szolgáltatókhoz való hozzáféréssel. Kínai Nagy Tűzfal "szivárgott" a nemzeti határain kívül, megakadályozva, hogy az emberek a világ más részein hozzáférjenek ezekhez a weboldalakhoz. Ez lényegében nagyméretű DNS mérgezési támadásként működött.(Forrás).
A Solution
A valódi ok a DNS gyorsítótár mérgezésének ilyen problémája az, mert nincs valódi módja annak meghatározására, hogy a kapott DNS-válaszok valóban jogosak-e, vagy manipuláltak-e.
A DNS gyorsítótár mérgezés hosszú távú megoldása a DNSSEC.A DNSSEC lehetővé teszi a szervezetek számára, hogy DNS-rekordokat írjanak nyilvános kulcsú titkosítással, biztosítva, hogy a számítógép tudja, vajon megbízható-e a DNS-rekord, vagy mérgezik-e és helytelen helyre irányítja-e.
- További információ: Hogyan segíthet a DNSSEC az internet biztonságossá tételében, és hogy a SOPA majdnem készen állt az illegális
képminőségről: Andrew Kuznetsov a Flickr-en, a Jemimus a Flickr-en, a NASA
