Hva er DNS Cache-forgiftning?
DNS-cache-forgiftning, også kjent som DNS-spoofing, er en type angrep som utnytter sårbarheter i domenenavnssystemet (DNS) for å avlede Internett-trafikk fra legitime servere og mot falske.
En av grunnene til at DNS-forgiftning er så farlig, er fordi den kan spres fra DNS-server til DNS-server. I 2010 resulterte en DNS-forgiftningshendelse i Great Firewall i Kina midlertidig å rømme Kinas nasjonale grenser, censurere Internett i USA til problemet ble løst.
Hvordan fungerer DNS
Når datamaskinen kontakter et domenenavn som "google.com," må den først kontakte sin DNS-server. DNS-serveren svarer med en eller flere IP-adresser hvor datamaskinen din kan nå google.com. Datamaskinen kobler da direkte til den numeriske IP-adressen. DNS konverterer menneskelige lesbare adresser som "google.com" til datamaskinlesbare IP-adresser som "173.194.67.102".
- Les mer: HTG Forklarer: Hva er DNS?
DNS Caching
Internett har ikke bare en enkelt DNS-server, da det ville være ekstremt ineffektivt. Din Internett-leverandør kjører sine egne DNS-servere, som cache informasjon fra andre DNS-servere. Hjemmestyreren fungerer som en DNS-server, som caches informasjon fra Internett-leverandørens DNS-servere. Datamaskinen din har en lokal DNS-cache, slik at den raskt kan referere til DNS-oppslag, det er allerede utført i stedet for å utføre et DNS-oppslag igjen og igjen.
DNS Cache Forgiftning
En DNS-cache kan bli forgiftet hvis den inneholder en feil oppføring. Hvis for eksempel en angriper får kontroll over en DNS-server og endrer noen av informasjonen på den - for eksempel kan de si at google.com faktisk peker på en IP-adresse angriperen eier - at DNS-serveren vil fortelle at brukerne skal se for Google.com på feil adresse. Angriperens adresse kan inneholde en slags skadelig phishing-nettside
DNS-forgiftning som dette kan også spre seg. For eksempel, hvis ulike Internett-tjenesteleverandører får sin DNS-informasjon fra den kompromitterte serveren, vil den forgiftede DNS-oppføringen spre seg til Internett-tjenesteleverandørene og bli cached der. Det vil da spre seg til hjemmevirksomhet og DNS-cacher på datamaskiner når de ser opp DNS-oppføringen, mottar feil svar og lagrer det.
Den store brannmuren i Kina sprer seg til USA
Dette er ikke bare et teoretisk problem - det har skjedd i den virkelige verden i stor skala. En av måtene Kinas Great Firewall fungerer, er å blokkere på DNS-nivå. For eksempel kan et nettsted blokkert i Kina, som twitter.com, ha sine DNS-poster pekt på en feil adresse på DNS-servere i Kina. Dette vil føre til at Twitter er utilgjengelig gjennom normale midler. Tenk på dette fordi Kina forsettlig forgifter sine egne DNS-server caches.
I 2010 konfigurerte en Internett-leverandør utenfor Kina feilaktig DNS-serverne for å hente informasjon fra DNS-servere i Kina. Den hentet feil DNS-poster fra Kina og lagret dem på egne DNS-servere. Andre Internett-tjenesteleverandører hentet DNS-informasjon fra den Internett-leverandøren og brukte den på deres DNS-servere. De forgiftede DNS-postene fortsatte å spre seg til noen personer i USA ble blokkert fra å få tilgang til Twitter, Facebook og YouTube på deres amerikanske Internett-tjenesteleverandører. Kinas store brannmur hadde "lekket" utenfor sine nasjonale grenser, slik at folk fra andre steder i verden ikke kunne få tilgang til disse nettstedene. Dette fungerte i det vesentlige som et stort DNA-forgiftningsangrep. (Kilde.)
Løsningen
Den virkelige grunnen til at DNS cache forgiftning er et slikt problem er fordi det ikke er noen reell måte å avgjøre om DNS-svar du mottar, faktisk er legitime, eller om de har blitt manipulert.
Den langsiktige løsningen på DNS-cache-forgiftning er DNSSEC. DNSSEC vil tillate organisasjoner å signere sine DNS-poster ved hjelp av public key-kryptering, slik at datamaskinen din vil vite om en DNS-post skal stole på, eller om den er blitt forgiftet og omdirigert til en feil plassering.
- Les mer: Hvordan DNSSEC vil bidra til å sikre Internett og hvordan SOPA nesten gjorde det ulovlig
Image Credit: Andrew Kuznetsov på Flickr, Jemimus på Flickr, NASA