Čo je DNS Cache otravy?
Otrava vyrovnávacej pamäte DNS, známa tiež ako spoofing DNS, je typ útoku, ktorý využíva zraniteľné miesta v systéme názvov domén (DNS) na odklonenie internetového prenosu od legitímnych serverov a smerom k falošným.
Jedným z dôvodov, že otravy DNS sú také nebezpečné, je to, že sa môžu šíriť z DNS servera na server DNS. V roku 2010 udalosť otravy DNS viedla k tomu, že Great Firewall v Číne dočasne unikol hraniciam Číny, cenzurovalo internet v USA, až kým nebol problém vyriešený.
Ako DNS funguje
Kedykoľvek váš počítač kontaktuje názov domény ako "google.com", musí najprv kontaktovať svoj server DNS. DNS server reaguje s jednou alebo viacerými adresami IP, na ktorých môže počítač dosiahnuť google.com. Váš počítač sa potom pripája priamo na túto číselnú IP adresu. DNS konvertuje ľudsky čitateľné adresy ako "google.com" na počítačovo čitateľné adresy IP ako "173.194.67.102".
- Čítajte viac: HTG vysvetľuje: Čo je DNS?
DNS caching
Internet nemá len jeden DNS server, pretože by to bolo veľmi neefektívne. Poskytovateľ internetových služieb prevádzkuje svoje vlastné servery DNS, ktoré ukladajú do vyrovnávacej pamäte informácie z iných serverov DNS. Váš domáci smerovač funguje ako server DNS, ktorý ukladá informácie z DNS serverov ISP. Váš počítač má lokálnu vyrovnávaciu pamäť DNS, takže môže rýchlo vyhľadávať DNS vyhľadávania, ktoré už vykonala, a nie opakovane vyhľadávať DNS.
DNS Cache otravy
Cache DNS sa môže otráviť, ak obsahuje nesprávny záznam. Napríklad, ak útočník dostane kontrolu nad serverom DNS a zmení niektoré informácie na ňom - napríklad by mohol povedať, že google.com skutočne poukazuje na adresu IP, ktorú má útočník vlastný - ten server DNS by svojim používateľom povedal, aby vyzerali pre stránku Google.com na nesprávnej adrese. Adresa útočníka by mohla obsahovať nejaký škodlivý phishingový web
Takéto otravy DNS sa môžu rozšíriť. Napríklad, ak rôzni poskytovatelia internetových služieb dostanú svoje informácie DNS z kompromitovaného servera, otrávená položka DNS sa rozšíri na poskytovateľov internetových služieb a tam bude uložená do vyrovnávacej pamäte. Potom sa rozšíri na domáce smerovače a vyrovnávacie pamäte DNS v počítačoch pri vyhľadávaní položky DNS, pri prijatí nesprávnej odpovede a uložení.
Veľký firewall Číny sa šíri do USA
Nie je to len teoretický problém - vo veľkom meradle sa to stalo v reálnom svete. Jedným zo spôsobov, akými funguje Čínska brána firewall, je blokovanie na úrovni DNS. Napríklad webové stránky zablokované v Číne, napríklad twitter.com, môžu mať záznamy DNS uvedené na nesprávnej adrese na serveroch DNS v Číne. To by viedlo k tomu, že služba Twitter nebude dostupná normálnymi prostriedkami. Premýšľajte o tom, ako Čína úmyselne otrávila svoje vlastné vyrovnávacie pamäte servera DNS.
V roku 2010 poskytovateľ internetových služieb mimo Číny nesprávne nakonfiguroval servery DNS s cieľom získať informácie zo serverov DNS v Číne. Vybral nesprávne záznamy DNS z Číny a uložil ich do svojich serverov DNS. Ostatní poskytovatelia internetových služieb prevzali informácie o DNS od poskytovateľa internetových služieb a použili ich na svojich serveroch DNS. Otrávené záznamy DNS sa naďalej šírili, kým niektorým ľuďom v USA nebol prístup k Twitteru, Facebooku a YouTube v amerických poskytovateľoch internetových služieb. Veľký firewall Číny "prenikol" mimo svojich hraníc a zabránil tak prístupu na tieto webové stránky ľuďom z iných častí sveta. Toto v podstate fungovalo ako veľký útok DNS otravy. (Zdroj).
Riešenie
Skutočným dôvodom otravy DNS cache je taký problém, pretože neexistuje reálny spôsob, ako určiť, či sú odpovede DNS, ktoré dostanete, skutočne legitímne alebo či boli manipulované.
Dlhodobým riešením otravy DNS cache je DNSSEC. Služba DNSSEC umožní organizáciám podpísať svoje záznamy DNS pomocou kryptografie s verejným kľúčom a zaistiť, že váš počítač bude vedieť, či má dôverovať záznam DNS alebo či bol otrávený a presmerovaný na nesprávne miesto.
- Čítajte viac: Ako DNSSEC pomôže zabezpečiť internet a ako sa SOPA takmer stal nelegálnym
Image Credit: Andrew Kuznetsov na Flickr, Jemimus na Flickr, NASA