Що таке отруєння кешу DNS?
Отруєння кешу DNS, також відоме як підробка DNS, є типом атаки, яка використовує уразливості системи доменних імен (DNS) для відхилення Інтернет-трафіку від легітимних серверів і до підроблених.
Однією з причин того, що отруєння DNS є настільки небезпечним, є те, що він може поширюватися з DNS-сервера на DNS-сервер. У 2010 році подія на отруєння DNS призвело до тимчасового виходу Китаю з національних кордонів Китаю, під час цензури Інтернету в США, поки проблема не була вирішена..
Як працює DNS
Коли ваш комп'ютер зв'язується з іменем домену, наприклад, "google.com", він повинен спочатку зв'язатися зі своїм DNS-сервером. DNS-сервер відповідає однією або кількома IP-адресами, на яких ваш комп'ютер може перейти до google.com. Після цього комп'ютер підключається безпосередньо до цієї цифрової IP-адреси. DNS перетворює зручні для читання адреси, наприклад, "google.com", на IP-адреси, що читаються комп'ютером, наприклад "173.194.67.102".
- Детальніше: HTG пояснює: Що таке DNS?
Кешування DNS
Інтернет не має єдиного DNS-сервера, оскільки це буде надзвичайно неефективним. Ваш постачальник послуг Інтернету має власні DNS-сервери, які кешують інформацію з інших DNS-серверів. Ваш домашній маршрутизатор функціонує як DNS-сервер, який кешує інформацію з DNS-серверів вашого провайдера. Ваш комп'ютер має локальний кеш DNS, тому він може швидко звертатися до запитів DNS, які вже виконано, а не виконувати пошук DNS знову і знову.
Отруєння кешу DNS
Кеш DNS може бути отруєний, якщо він містить неправильний запис. Наприклад, якщо зловмисник отримує контроль над DNS-сервером і змінює деяку інформацію про нього - наприклад, вони можуть сказати, що google.com насправді вказує на IP-адресу, якою володіє зловмисник - що DNS-сервер скаже користувачам для Google.com з неправильною адресою. Адреса атакуючого може містити якийсь зловмисний веб-сайт фішингу
Отруєння DNS, подібне до цього, також може поширюватися. Наприклад, якщо різні постачальники Інтернет-послуг отримують свою DNS-інформацію з загрозливого сервера, то занурена DNS-адреса буде поширюватися на постачальників Інтернет-послуг і кешуватися там. Потім він буде поширюватися на домашні маршрутизатори та кеш DNS на комп'ютерах, коли вони шукають запис DNS, отримують неправильну відповідь і зберігають його..
Великий брандмауер Китаю поширюється на США
Це не просто теоретична проблема - це відбувалося в реальному світі у великих масштабах. Один із способів роботи Great Firewall Китаю - це блокування на рівні DNS. Наприклад, веб-сайт, заблокований у Китаї, наприклад, twitter.com, може мати свої DNS-записи, вказуючи на неправильну адресу на серверах DNS у Китаї. Це призведе до того, що Twitter буде недоступним через звичайні засоби. Подумайте про це, як Китай навмисно отруює власні кеші DNS-сервера.
У 2010 році постачальник Інтернет-послуг за межами Китаю помилково налаштував свої DNS-сервери для отримання інформації з DNS-серверів у Китаї. Він отримав неправильні записи DNS з Китаю та кешував їх на власних DNS-серверах. Інші постачальники послуг Інтернету отримали інформацію про DNS від постачальника Інтернет-послуг і використали її на своїх DNS-серверах. Записані DNS-записи продовжували поширюватися, поки деякі люди в США не були заблоковані від доступу до Twitter, Facebook і YouTube на своїх американських провайдерах Інтернет-послуг. Великий китайський брандмауер "просочився" за межі своїх національних кордонів, не даючи людям з інших країн світу отримати доступ до цих веб-сайтів. Це, по суті, функціонувало як масштабна атака ДНС на отруєння. (Джерело.)
Рішення
Справжньою причиною отруєння кешу в DNS є така проблема, оскільки немає реального способу визначити, чи відповіді DNS, які ви отримуєте, є дійсно законними чи маніпулювали ними.
Довгостроковим рішенням для отруєння кешу DNS є DNSSEC. DNSSEC дозволить організаціям підписувати свої записи DNS за допомогою криптографії з відкритим ключем, гарантуючи, що ваш комп'ютер буде знати, чи слід довіряти запису DNS, чи це було отруєно та перенаправляє на неправильне місце.
- Детальніше: Як DNSSEC допоможе забезпечити безпеку Інтернету і як SOPA практично зробив це незаконним
Зображення: Ендрю Кузнецов на Flickr, Jemimus на Flickr, NASA