6Aug
DNS-cacheförgiftning, även känd som DNS-spoofing, är en typ av attack som utnyttjar sårbarheter i domännamnssystemet( DNS) för att avleda Internettrafik från legitima servrar och mot falska.
En av anledningarna till att DNS-förgiftning är så farlig är att den kan sprida sig från DNS-servern till DNS-servern. Under 2010 resulterade en DNS-förgiftningshändelse i att Kinas Great Firewall temporärt flydde från Kinas nationella gränser och censurerade Internet i USA tills problemet var löst.
Hur DNS fungerar
När din dator kontaktar ett domännamn som "google.com" måste det först kontakta sin DNS-server. DNS-servern svarar med en eller flera IP-adresser där din dator kan nå google.com. Din dator kopplar sedan direkt till den numeriska IP-adressen. DNS konverterar läsadresser som "google.com" till datorläsbara IP-adresser som "173.194.67.102".
- Läs mer: HTG förklarar: Vad är DNS?
DNS Caching
Internet har inte bara en enda DNS-server, eftersom det skulle vara extremt ineffektivt. Din Internetleverantör driver sina egna DNS-servrar, vilket cachar information från andra DNS-servrar. Din hemrouter fungerar som en DNS-server, som cachar information från din ISP: s DNS-servrar. Din dator har en lokal DNS-cache, så det kan snabbt hänvisa till DNS-sökningar. Det har redan utförts istället för att utföra DNS-uppslag om och om igen.
DNS-cache-förgiftning
En DNS-cache kan bli förgiftad om den innehåller en felaktig post. Om till exempel en angripare får kontroll över en DNS-server och ändrar en del av informationen på den - till exempel kan de säga att google.com faktiskt pekar på en IP-adress som angriparen äger - den DNS-servern skulle berätta för användarna att tittaför Google.com vid fel adress. Hållarens adress kan innehålla någon form av skadlig phishing-webbplats
DNS-förgiftning som detta kan också spridas. Till exempel, om olika Internet-leverantörer får sin DNS-information från den kompromitterade servern, sprids den förgiftade DNS-posten till Internet-leverantörerna och caches där. Det sprider sig sedan till hemma routrar och DNS-cacharna på datorer när de tittar upp DNS-posten, mottar felaktigt svar och lagrar det.
Kinas stora brandvägg sprids till USA
Detta är inte bara ett teoretiskt problem - det har hänt i den verkliga världen i stor skala. Ett sätt på vilket Kinas Great Firewall fungerar är att blockera på DNS-nivå.Till exempel kan en webbplats som blockeras i Kina, såsom twitter.com, ha sina DNS-poster pekade på en felaktig adress på DNS-servrar i Kina. Detta skulle leda till att Twitter inte är tillgängligt genom normala medel. Tänk på detta eftersom Kina avsiktligt förgiftar sina egna DNS-serverkaches.
Under 2010 konfigurerade en Internetleverantör utanför Kina felaktigt sina DNS-servrar för att hämta information från DNS-servrar i Kina. Den hämtade de felaktiga DNS-posterna från Kina och cachade dem på sina egna DNS-servrar. Andra Internet-leverantörer hämtade DNS-information från den Internet-leverantören och använde den på sina DNS-servrar. De förgiftade DNS-posterna fortsatte att spridas tills vissa personer i USA blivit blockerade från att komma åt Twitter, Facebook och YouTube på sina amerikanska Internetleverantörer. Kinas stora brandvägg hade "läckt" utanför sina nationella gränser och hindrade människor från andra håll i världen från att komma åt dessa webbplatser. Detta fungerade i huvudsak som en storskalig DNS-förgiftningsattack.(Source.)
Lösningen
Den verkliga orsaken till att DNS-cacheförgiftning är ett sådant problem är att det inte finns något riktigt sätt att avgöra om DNS-svar du får är faktiskt legitima eller om de har manipulerats.
Den långsiktiga lösningen för DNS-cacheförgiftning är DNSSEC.DNSSEC tillåter organisationer att underteckna sina DNS-poster med hjälp av public key-kryptering, så att din dator kommer att veta om en DNS-post ska vara betrodd eller om den har förgiftats och omdirigerats till en felaktig plats.
- Läs mer: Hur DNSSEC kommer att hjälpa till att säkra Internet och hur SOPA nästan gjorde det olagligt
Image Credit: Andrew Kuznetsov på Flickr, Jemimus på Flickr, NASA