A DNS-gyorsítótár-mérgezés, más néven DNS-hamisítás, egy olyan típusú támadás, amely a domainnév-rendszer (DNS) biztonsági réseit kihasználva tereli el az internetes forgalmat a jogos szerverekről és hamisak felé.
Az egyik oka annak, hogy a DNS-mérgezés annyira veszélyes, mert átterjedhet a DNS-kiszolgálóról a DNS-kiszolgálóra. 2010-ben egy DNS-mérgezési esemény eredményeként Kína Nagy Tűzfala ideiglenesen megszökött Kína nemzeti határairól, az USA-ban cenzúrázta az internetet, amíg a probléma meg nem oldódott.
Hogyan működik a DNS
Amikor számítógépe kapcsolatba lép egy olyan domainnévvel, mint a „google.com”, először kapcsolatba kell lépnie a DNS-kiszolgálóval. A DNS-kiszolgáló egy vagy több IP-címmel válaszol, ahol a számítógép el tudja érni a google.com címet. A számítógép ezután közvetlenül csatlakozik ahhoz a numerikus IP-címhez. A DNS átalakítja az ember által olvasható címeket, például a „google.com”, számítógéppel olvasható IP címekké, például „173.194.67.102”.
- Olvass tovább: A HTG elmagyarázza: Mi az a DNS?
DNS gyorsítótár
Az Internet nem csak egyetlen DNS-kiszolgálóval rendelkezik, mivel ez rendkívül nem hatékony. Az internetszolgáltató saját DNS-kiszolgálókat üzemeltet, amelyek más DNS-kiszolgálókról tárolják az információkat. Az otthoni útválasztó DNS-kiszolgálóként működik, amely az internetszolgáltató DNS-kiszolgálóiról tárolja az információkat. A számítógép rendelkezik helyi DNS-gyorsítótárral, így gyorsan hivatkozhat a már elvégzett DNS-keresésekre, ahelyett, hogy újra és újra elvégezné a DNS-keresést.
DNS-gyorsítótár-mérgezés
A DNS-gyorsítótár mérgeződhet, ha helytelen bejegyzést tartalmaz. Például, ha a támadó megkapja az irányítást a DNS-kiszolgáló felett, és megváltoztatja a rajta lévő információk egy részét - például azt mondhatnák, hogy a google.com valójában egy olyan IP-címre mutat, amely a támadónak van -, akkor a DNS-kiszolgáló megmondaná felhasználóinak, hogy a Google.com webhelyhez rossz címen. A támadó címe tartalmazhat valamilyen rosszindulatú adathalász weboldalt
Az ilyen DNS-mérgezés is terjedhet. Például, ha különböző internetes szolgáltatók a megsértett szervertől kapják meg a DNS-információkat, a mérgezett DNS-bejegyzés átterjed az internetszolgáltatókra, és ott tárolódik. Ezután átterjed az otthoni útválasztókra és a számítógépek DNS-gyorsítótáraira, amikor megkeresik a DNS-bejegyzést, megkapják a helytelen választ és tárolják.
Kína nagy tűzfala elterjedt az Egyesült Államokban
Ez nem csak elméleti probléma - a valós világban nagy léptékben történt. A kínai nagy tűzfal működésének egyik módja a blokkolás a DNS-szinten. Például egy Kínában letiltott webhely, például a twitter.com DNS-rekordjainak helytelen címe lehet a kínai DNS-kiszolgálókon. Ez azt eredményezné, hogy a Twitter normál eszközökkel nem elérhető. Gondoljon erre úgy, hogy Kína szándékosan megmérgezi saját DNS-kiszolgálója gyorsítótárát.
2010-ben egy Kínán kívüli internetszolgáltató tévesen úgy konfigurálta a DNS-kiszolgálóit, hogy információkat nyerjen a kínai DNS-kiszolgálókról. A hibás DNS-rekordokat behozta Kínából, és a saját DNS-kiszolgálóin tárolta azokat. Más internetszolgáltatók DNS-információkat szereztek be attól az internetszolgáltatótól, és használták fel őket DNS-kiszolgálóikon. A megmérgezett DNS-bejegyzések tovább terjedtek, amíg az Egyesült Államokban egyes embereket nem tiltottak meg a Twitter, a Facebook és a YouTube elérésében amerikai internetes szolgáltatóikon. Kína nagy tűzfala „kiszivárgott” nemzeti határain kívül, megakadályozva, hogy a világ más részeiről érkező emberek hozzáférjenek ezekhez a weboldalakhoz. Ez lényegében nagyszabású DNS-mérgezési támadásként működött. ( Forrás .)
A megoldás
A DNS-gyorsítótár mérgezésének valós oka az, hogy nincs valós módja annak megállapítására, hogy a kapott DNS-válaszok valóban jogosak-e, vagy manipulálták-e őket.
A DNS gyorsítótár-mérgezés hosszú távú megoldása a DNSSEC. A DNSSEC lehetővé teszi a szervezetek számára, hogy nyilvános kulcsú rejtjelezéssel írják alá a DNS-rekordjaikat, biztosítva, hogy a számítógép tudja, hogy megbízhatónak kell-e lennie egy DNS-rekordnak, vagy megmérgezték-e, és helytelen helyre irányít-e át.
- Olvass tovább: Hogyan segít a DNSSEC az internet biztonságában, és hogyan tette szinte illegálisvá a SOPA
Kép jóváírása: Andrew Kuznyecov a Flickr-en , Jemimus a Flickr-en , NASA
