6Aug
DNS cache zastrupitev, znan tudi kot prevara DNS, je vrsta napada, ki izkorišča ranljivosti v sistemu imen domen( DNS), da preusmeri internetni promet od legitimnih strežnikov in proti lažnim.
Eden od razlogov zastrupitve DNS je tako nevaren, ker se lahko razširi s strežnika DNS na strežnik DNS.Leta 2010 je dogodek za zastrupitev z DNS povzročil, da je velik požarni zid Kitajske začasno pobegnil na kitajske državne meje in cenzuriral internet v ZDA, dokler se težava ne odpravi.
Kako deluje DNS
Ko se vaš računalnik dotakne imena domene, kot je »google.com«, se mora najprej obrniti na strežnik DNS.Strežnik DNS se odzove z enim ali več naslovov IP, kjer lahko vaš računalnik doseže google.com. Računalnik se nato neposredno poveže s tem številskim naslovom IP.DNS pretvori človeško berljive naslove, kot je "google.com", na računalniško berljive naslove IP, kot je "173.194.67.102".
- Preberi več: HTG razlaga: Kaj je DNS?
DNS Caching
Internet nima samo enega strežnika DNS, saj bi to bilo izjemno neučinkovito. Vaš ponudnik internetnih storitev upravlja svoje DNS strežnike, ki zbirajo podatke iz drugih DNS strežnikov. Vaš domači usmerjevalnik deluje kot strežnik DNS, ki zbira podatke od strežnikov DNS vašega ponudnika internetnih storitev. Vaš računalnik ima lokalni predpomnilnik DNS, zato se lahko hitro sklicuje na lookupe DNS, ki so že bile izvedene, in ne znova preverjati iskanja DNS.
DNS Cache zastrupitev
Začasni DNS se lahko zastrupi, če vsebuje napačen vnos. Na primer, če napadalec dobi nadzor nad strežnikom DNS in spremeni nekatere podatke o njem - na primer, bi lahko rekli, da google.com dejansko kaže na naslov IP, ki ga ima napadalec - da bi strežnik DNS svojim uporabnikomza Google.com na napačen naslov. Naslov napadalca bi lahko vseboval neke vrste zlonamerno spletno mesto za lažno predstavljanje
DNS zastrupitve, kot se to lahko razširi.Če na primer različni ponudniki internetnih storitev pridobijo svoje podatke DNS iz ogroženega strežnika, se zastrupjeni vnos DNS razširi na ponudnike internetnih storitev in jih shranjuje. Nato se bo razširil na domače usmerjevalnike in DNS-ke na računalnikih, ko bodo poiskali vnos DNS-a, prejeli nepravilen odziv in ga shranili.
Veliki požarni zid Kitajske prenaša v ZDA
To ni le teoretični problem - to se je zgodilo v resničnem svetu v velikem obsegu. Eden od načinov delovanja Velikega požarnega zidu Kitajske je blokiranje na ravni DNS.Na primer, spletno mesto, blokirano na Kitajskem, na primer twitter.com, ima lahko svoje DNS zapise, ki kažejo na nepravilni naslov na strežnikih DNS na Kitajskem. To bi povzročilo, da je Twitter s pomočjo običajnih sredstev nedostopen. Pomislite na to, ker Kitajska namerno zastrupi svoje lastne DNS strežnike.
V letu 2010 je ponudnik internetnih storitev zunaj Kitajske napačno konfiguriral svoje strežnike DNS za pridobivanje informacij iz strežnikov DNS na Kitajskem. Pridobil je nepravilne zapise DNS iz Kitajske in jih shranil na svoje DNS strežnike. Drugi ponudniki internetnih storitev so pridobili podatke DNS od tega ponudnika internetnih storitev in jih uporabili na svojih DNS strežnikih. Zaprti vnosi DNS se še naprej širijo, dokler nekaterim ljudem v ZDA ni bilo mogoče dostopati do Twittera, Facebooka in YouTube v svojih ameriških ponudnikih internetnih storitev. Veliki požarni zid Kitajske je "iztekel" zunaj svojih državnih meja, kar ljudem iz drugih krajev na svetu preprečuje dostop do teh spletnih strani. To je v bistvu delovalo kot obsežen napad DNS zastrupitve.(Vir.)
Rešitev
Resnični razlog za zastrupitev DNS cache je tako težava, ker ni nobenega pravega načina, da bi ugotovili, ali so odzivi DNS, ki jih prejmete, dejansko legitimni ali ali so bili manipulirani.
Dolgoročna rešitev za zastrupitve predpomnilnika DNS je DNSSEC.DNSSEC bo organizacijam omogočil, da podpišejo svoje zapise DNS z uporabo kriptografije javnega ključa in zagotovijo, da bo vaš računalnik vedel, ali je treba zaupati v evidenco DNS ali pa je zastrupljen in preusmerjen na nepravilno lokacijo.
- Preberite več: Kako bo DNSSEC pomagal zavarovati internet in kako je SOPA skoraj postal nezakonit
Image Credit: Andrew Kuznetsov na Flickr, Jemimus na Flickr, NASA
