6Aug
DNS-cache-vergiftiging, ook bekend als DNS-spoofing, is een aanval die kwetsbaarheden in het domeinnaamsysteem( DNS) misbruikt om internetverkeer weg te leiden van legitieme servers naar nep-computers.
Een van de redenen waarom DNS-vergiftiging zo gevaarlijk is, is omdat het zich kan verspreiden van DNS-server naar DNS-server. In 2010 leidde een DNS-vergiftigingsgebeurtenis ertoe dat de Grote Firewall van China tijdelijk aan de nationale grenzen van China ontsnapte en het internet in de VS censureerde tot het probleem was verholpen.
Hoe DNS Works
Wanneer uw computer contact opneemt met een domeinnaam zoals "google.com", moet deze eerst contact opnemen met de DNS-server. De DNS-server antwoordt met een of meer IP-adressen waar uw computer google.com kan bereiken. Uw computer maakt dan rechtstreeks verbinding met dat numerieke IP-adres. DNS converteert door mensen leesbare adressen zoals "google.com" naar computerleesbare IP-adressen zoals "173.194.67.102".
- Lees Meer: HTG Explains: Wat is DNS?
DNS Caching
Het internet heeft niet slechts één DNS-server, maar dat zou uiterst inefficiënt zijn. Uw internetserviceprovider voert zijn eigen DNS-servers uit, die informatie van andere DNS-servers cachen. Uw thuisrouter functioneert als een DNS-server, die informatie van de DNS-servers van uw internetprovider in de cache opslaat. Uw computer heeft een lokale DNS-cache, zodat u snel kunt verwijzen naar DNS-lookups die al zijn uitgevoerd in plaats van steeds opnieuw een DNS-zoekopdracht uit te voeren.
DNS Cache Poisoning
Een DNS-cache kan vergiftigd raken als deze een onjuiste invoer bevat. Bijvoorbeeld, als een aanvaller de controle krijgt over een DNS-server en een deel van de informatie erop wijzigt, zouden ze kunnen zeggen dat google.com feitelijk verwijst naar een IP-adres dat de aanvaller bezit - die DNS-server zou de gebruikers vertellen om te kijkenvoor Google.com op het verkeerde adres. Het adres van de aanvaller kan een of andere schadelijke website voor phishing bevatten.
DNS-vergiftiging zoals deze kan zich ook verspreiden. Als bijvoorbeeld verschillende internetproviders hun DNS-informatie van de gecompromitteerde server ontvangen, zal het vergiftigde DNS-item zich verspreiden naar de internetserviceproviders en daar in de cache worden geplaatst. Het verspreidt zich vervolgens naar thuisrouters en de DNS-caches op computers terwijl ze de DNS-invoer opzoeken, het onjuiste antwoord ontvangen en opslaan.
De grote firewall van China verspreidt zich naar de VS
Dit is niet alleen een theoretisch probleem - het is op grote schaal gebeurd in de echte wereld. Een van de manieren waarop China's Great Firewall werkt, is door te blokkeren op DNS-niveau. Een website geblokkeerd in China, zoals twitter.com, kan bijvoorbeeld zijn DNS-records laten verwijzen naar een onjuist adres op DNS-servers in China. Dit zou ertoe leiden dat Twitter op de normale manier ontoegankelijk zou zijn. Zie dit als China opzettelijk zijn eigen DNS-servercaches vergiftigt.
In 2010 heeft een internetprovider buiten China ten onrechte zijn DNS-servers geconfigureerd om informatie op te halen van DNS-servers in China. Het heeft de onjuiste DNS-records uit China opgehaald en in de cache opgeslagen op zijn eigen DNS-servers. Andere internetserviceproviders haalden DNS-informatie bij die internetserviceprovider en gebruikten deze op hun DNS-servers. De vergiftigde DNS-vermeldingen bleven zich verspreiden totdat sommige mensen in de VS geblokkeerd waren voor toegang tot Twitter, Facebook en YouTube op hun Amerikaanse internetproviders. De grote firewall van China is buiten zijn nationale grenzen 'gelekt', waardoor mensen van elders in de wereld geen toegang hebben tot deze websites. Dit werkte in wezen als een grootschalige DNS-vergiftigingsaanval.(Bron.)
De oplossing
De echte reden waarom DNS-cache-vergiftiging zo'n probleem is, is omdat er geen echte manier is om te bepalen of DNS-reacties die u ontvangt, echt legitiem zijn of dat ze zijn gemanipuleerd.
De langetermijnoplossing voor DNS-cache-vergiftiging is DNSSEC.Met DNSSEC kunnen organisaties hun DNS-records ondertekenen met cryptografie met openbare sleutels, zodat uw computer weet of een DNS-record moet worden vertrouwd of dat deze is vergiftigd en wordt omgeleid naar een onjuiste locatie.
- Lees meer: Hoe DNSSEC zal helpen het internet te beveiligen en hoe SOPA het bijna illegaal maakte
Image Credit: Andrew Kuznetsov op Flickr, Jemimus op Flickr, NASA
