6Aug
DNS-kätkön myrkytys, joka tunnetaan myös nimellä DNS spoofing, on eräänlainen hyökkäys, joka hyödyntää verkkotunnusten järjestelmän( DNS) haavoittuvuuksia Internet-liikenteen ohittamiseksi pois laillisista palvelimista ja väärennöksistä.
Yksi syy DNS-myrkytykseen on niin vaarallinen, koska se voi levitä DNS-palvelimesta DNS-palvelimeen. Vuonna 2010 DNS-myrkytystapahtuman seurauksena Kiinan suuri palomuuri välitti väliaikaisesti Kiinan kansalliset rajat, sensuroi Internetin Yhdysvalloissa, kunnes ongelma oli korjattu.
Miten DNS toimii
Aina kun tietokoneesi liittyy verkkotunnukseen, kuten "google.com", sen on ensin otettava yhteyttä DNS-palvelimeensa. DNS-palvelin vastaa yhdellä tai useammalla IP-osoitteella, joilla tietokoneesi voi tavoittaa google.comin. Tietokone kytketään sitten suoraan siihen numeeriseen IP-osoitteeseen. DNS muuntaa ihmisen luettavia osoitteita, kuten "google.com", tietokoneella luettaviksi IP-osoitteiksi, kuten "173.194.67.102".
- Lue lisää: HTG selittää: Mikä on DNS?
DNS Caching
Internetissä ei ole vain yhtä DNS-palvelinta, koska se olisi erittäin tehotonta. Internet-palveluntarjoajasi ylläpitää omia DNS-palvelimia, jotka välittävät tietoja muista DNS-palvelimista. Kotoreitti toimii DNS-palvelimena, joka välittää tietoja ISP: n DNS-palvelimilta. Tietokoneessa on paikallinen DNS-välimuisti, joten se voi nopeasti viitata DNS-hakuihin, jotka on jo suoritettu, eikä suorita DNS-haun uudelleen ja uudestaan.
DNS Cache -myrkytys
DNS-välimuisti voi myrkyttää, jos se sisältää virheellisen merkinnän. Esimerkiksi jos hyökkääjä saa hallinnan DNS-palvelimesta ja muuttaa joitain tietoja siitä - esimerkiksi he voisivat sanoa, että google.com todella osoittaa IP-osoitteen, jonka hyökkääjä omistaa - että DNS-palvelin ilmoittaisi käyttäjilleen, ettäGoogle.com-sivustossa väärässä osoitteessa. Hyökkääjän osoite saattaa sisältää jonkinlaisen haitallisen verkkohuijaus-sivuston.
DNS-myrkytys voi myös levitä.Esimerkiksi jos eri Internet-palveluntarjoajat saavat DNS-tietonsa haavoittuneelta palvelimelta, myrkytetty DNS-tieto leviää Internet-palveluntarjoajille ja tallennetaan siellä.Se leviää sitten kotiin reitittimiin ja DNS-välimuistit tietokoneisiin, kun ne hakevat DNS-merkinnän, saavat virheellisen vastauksen ja tallentavat sen.
Kiinan suuri palomuuri levittyy Yhdysvaltoihin
Tämä ei ole vain teoreettinen ongelma - se on tapahtunut suuressa mittakaavassa reaalimaailmassa. Yksi tapa, jolla Kiinan suuri palomuuri toimii, estää DNS-tason. Esimerkiksi Kiinassa estetty sivusto, kuten twitter.com, saattaa olla DNS-tietueet osoittautunut väärään osoitteeseen Kiinan DNS-palvelimissa. Tämä johtaisi siihen, että Twitter ei ole saavutettavissa tavanomaisin keinoin. Ajattele tätä, kun Kiina tahallaan myrkytti omia DNS-palvelimen kätköjä.
Vuonna 2010 Internet-palveluntarjoaja Kiinaan virheellisesti konfiguroi DNS-palvelimet hakemaan tietoja Kiinan DNS-palvelimilta. Se haastoi virheelliset DNS-tietueet Kiinasta ja tallensi ne omille DNS-palvelimilleen. Muut Internet-palveluntarjoajat hakivat DNS-tietoja kyseiseltä Internet-palveluntarjoajalta ja käyttivät sitä DNS-palvelimissaan. Myrkytettyjä DNS-merkintöjä levitettiin edelleen, kunnes jotkut Yhdysvalloissa olevat henkilöt estettiin käyttämästä Twitterissä, Facebookissa ja YouTubessa amerikkalaisia Internet-palveluntarjoajiaan. Kiinan suuri palomuuri oli "vuotanut" kansallisten rajojensa ulkopuolelle estäen ihmisiä muualta maailmasta pääsemästä näihin verkkosivustoihin. Tämä toimi pääasiassa laajamittaisena DNS-myrkytyskohtauksena.(Lähde)
Ratkaisu
Todellinen syy DNS-kätkön myrkytys on tällainen ongelma, koska ei ole todellista tapaa määrittää, ovatko vastaanottamasi DNS-vastaukset todella oikeutettuja vai onko niitä manipuloitu.
Pitkäaikainen ratkaisu DNS-kätkön myrkytykseen on DNSSEC.DNSSEC antaa organisaatioille mahdollisuuden allekirjoittaa DNS-tietueensa käyttäen julkisen avaimen salausta varmistaen, että tietokone tietäisi, onko DNS-tietue luotettava vai onko se myrkytetty ja ohjattu väärään paikkaan.
- Lue lisää: Miten DNSSEC auttaa suojelemaan Internetiä ja miten SOPA lähes teki sen Illegal
-kuvakorvaus: Andrew Kuznetsov Flickrissä, Jemimus Flickrissä, NASA