6Aug
DNS cache otravy, tiež známy ako spoofing DNS, je typ útoku, ktorý zneužíva zraniteľné miesta v systéme názvov domén( DNS) na odklonenie internetového prenosu od legitímnych serverov až po falošné.
Jedným z dôvodov, že otravy DNS sú také nebezpečné, je to, že sa môžu šíriť z DNS servera na server DNS.V roku 2010 udalosť otrava DNS viedla k tomu, že Great Firewall v Číne dočasne unikol hraniciam Číny a cenzuroval internet v USA až do vyriešenia problému.
Ako DNS funguje
Kedykoľvek váš počítač kontaktuje názov domény ako "google.com", musí najprv kontaktovať svoj server DNS.DNS server reaguje s jednou alebo viacerými adresami IP, na ktorých môže počítač dosiahnuť adresu google.com. Váš počítač sa potom pripojí priamo k tejto číselnej IP adrese. Služba DNS konvertuje adresy, ktoré sú čitateľné pre človeka, ako "google.com" na adresy IP čitateľné počítačom, napríklad "173.194.67.102".
- Viac informácií: HTG vysvetľuje: Čo je DNS?
DNS caching
Internet nemá len jeden DNS server, pretože by to bolo veľmi neefektívne. Poskytovateľ internetových služieb prevádzkuje vlastné servery DNS, ktoré ukladajú do vyrovnávacej pamäte informácie z iných serverov DNS.Váš domáci smerovač funguje ako server DNS, ktorý ukladá informácie z DNS serverov vášho ISP.Váš počítač má lokálnu vyrovnávaciu pamäť DNS, takže môže rýchlo vyhľadávať vyhľadávania DNS, ktoré už vykonala, a nie opakovať vyhľadávanie DNS.
Otravy cache DNS
Cache DNS sa môže otráviť, ak obsahuje nesprávny záznam. Napríklad, ak útočník dostane kontrolu nad serverom DNS a zmení niektoré informácie na ňom - napríklad by mohol povedať, že google.com skutočne poukazuje na adresu IP, ktorú má útočník vlastný - ten server DNS by svojim používateľom povedal, aby sa pozrelipre stránku Google.com na nesprávnej adrese. Adresu útočníka môže obsahovať nejaký škodlivý internetový phishingový server
DNS otravy, ktoré sa môžu rozšíriť.Napríklad, ak rôzni poskytovatelia internetových služieb dostanú svoje informácie DNS z ohrozeného servera, otrávená položka DNS sa rozšíri na poskytovateľov internetových služieb a tam bude uložená do vyrovnávacej pamäte. Potom sa rozšíri na domáce smerovače a vyrovnávacie pamäte DNS v počítačoch pri vyhľadávaní položky DNS, pri prijatí nesprávnej odpovede a uložení.
Veľký firewall Číny šíril do USA
Nie je to len teoretický problém - stalo sa to v reálnom svete vo veľkom meradle. Jedným zo spôsobov, ako funguje Čínska brána firewall, je blokovanie na úrovni DNS.Napríklad webové stránky zablokované v Číne, ako napríklad twitter.com, môžu mať záznamy DNS poukazované na nesprávnu adresu na serveroch DNS v Číne. To by viedlo k tomu, že služba Twitter by bola neprístupná normálnymi prostriedkami. Premýšľajte o tom, ako Čína úmyselne otrávila svoje vlastné vyrovnávacie pamäte servera DNS.
V roku 2010 poskytovateľ internetových služieb mimo Číny nesprávne nakonfiguroval svoje DNS servery na získavanie informácií zo serverov DNS v Číne. Vybral nesprávne záznamy DNS z Číny a uložil ich do svojich serverov DNS.Ostatní poskytovatelia internetových služieb načítavali informácie DNS od poskytovateľa internetových služieb a používali ich na svojich serveroch DNS.Zneužívané položky DNS sa naďalej šírili, kým niektorým ľuďom v USA nebol prístup k Twitteru, Facebooku a YouTube u amerických poskytovateľov internetových služieb. Veľký firewall Číny "unikol" mimo svojich hraníc a zabránil tak prístupu na tieto webové stránky ľuďom z iných častí sveta. Toto v podstate fungovalo ako veľký útok DNS otravy.(Zdroj.)
Riešenie
Skutočným dôvodom otravy DNS cache je takýto problém, pretože neexistuje reálny spôsob, ako určiť, či sú odpovede DNS, ktoré dostanete, skutočne legitímne alebo či boli manipulované.
Dlhodobým riešením otravy DNS cache je DNSSEC.Služba DNSSEC umožní organizáciám podpísať svoje záznamy DNS pomocou kryptografie s verejným kľúčom a zaistiť, že váš počítač bude vedieť, či má byť DNS záznam dôveryhodný alebo či bol otrávený a presmerovaný na nesprávne miesto.
- Prečítajte si viac: Ako DNSSEC pomôže zabezpečiť internet a ako SOPA takmer urobila nelegálne
Image Credit: Andrew Kuznetsov na Flickr, Jemimus na Flickr, NASA