Vad är DNS Cache-förgiftning?
DNS-cache-förgiftning, även känd som DNS-spoofing, är en typ av attack som utnyttjar sårbarheter i domännamnssystemet (DNS) för att avleda Internettrafik från legitima servrar och mot falska.
En av anledningarna till att DNS-förgiftning är så farlig är att den kan spridas från DNS-server till DNS-server. År 2010 resulterade en DNS-förgiftningshändelse i att Kinas Great Firewall temporärt flydde från Kinas nationella gränser, censurerade Internet i USA tills problemet var löst.
Hur DNS fungerar
När din dator kontaktar ett domännamn som "google.com" måste det först kontakta sin DNS-server. DNS-servern svarar med en eller flera IP-adresser där din dator kan nå google.com. Din dator kopplar sedan direkt till den numeriska IP-adressen. DNS konverterar läsadresser som "google.com" till datorläsbara IP-adresser som "173.194.67.102".
- Läs mer: HTG förklarar: Vad är DNS?
DNS Caching
Internet har inte bara en enda DNS-server, eftersom det skulle vara extremt ineffektivt. Din Internetleverantör driver sina egna DNS-servrar, vilket cachar information från andra DNS-servrar. Din hemrouter fungerar som en DNS-server, som caches information från din ISPs DNS-servrar. Din dator har en lokal DNS-cache, så det kan snabbt hänvisa till DNS-sökning det är redan utfört snarare än att utföra en DNS-sökning upp och om igen.
DNS-cacheförgiftning
En DNS-cache kan bli förgiftad om den innehåller en felaktig post. Om till exempel en angripare får kontroll över en DNS-server och ändrar någon av informationen på den - till exempel kan de säga att google.com faktiskt pekar på en IP-adress som angriparen äger - den DNS-servern skulle berätta för användarna att titta för Google.com vid fel adress. Hållarens adress kan innehålla någon form av skadlig webbplats för phishing
DNS-förgiftning så här kan också spridas. Om exempelvis olika internetleverantörer får sin DNS-information från den kompromitterade servern, sprids den förgiftade DNS-posten till Internet-leverantörerna och caches där. Det sprider sig sedan till hemma routrar och DNS-cacharna på datorer när de tittar upp DNS-posten, mottar felaktigt svar och lagrar det.
Kinas stora brandvägg sprids till USA
Detta är inte bara ett teoretiskt problem - det har hänt i den verkliga världen i stor skala. Ett sätt på vilket Kinas Great Firewall fungerar är genom att blockera på DNS-nivå. Till exempel kan en webbplats som blockeras i Kina, såsom twitter.com, ha sina DNS-poster pekade på en felaktig adress på DNS-servrar i Kina. Detta skulle leda till att Twitter är otillgänglig via normala medel. Tänk på detta eftersom Kina avsiktligt förgiftar sina egna DNS-serverkaches.
Under 2010 konfigurerade en Internetleverantör utanför Kina felaktigt sina DNS-servrar för att hämta information från DNS-servrar i Kina. Den hämtade felaktiga DNS-poster från Kina och cachade dem på sina egna DNS-servrar. Andra Internetleverantörer hämtade DNS-information från den Internetleverantören och använde den på sina DNS-servrar. De förgiftade DNS-posterna fortsatte att spridas tills vissa personer i USA blivit blockerade från att komma åt Twitter, Facebook och YouTube på sina amerikanska Internetleverantörer. Kinas stora brandvägg hade "läckt" utanför sina nationella gränser och hindrade människor från andra håll i världen från att komma åt dessa webbplatser. Detta fungerade i huvudsak som en storskalig DNS-förgiftningsattack. (Källa.)
Lösningen
Den verkliga orsaken till att DNS-cacheförgiftning är ett sådant problem är att det inte finns något riktigt sätt att avgöra om DNS-svar du får är faktiskt legitima eller om de har manipulerats.
Den långsiktiga lösningen på DNS-cacheförgiftning är DNSSEC. DNSSEC tillåter organisationer att underteckna sina DNS-poster med hjälp av public key-kryptering, så att din dator kommer att veta om en DNS-post ska vara betrodd eller om den har förgiftats och omdirigerats till en felaktig plats.
- Läs mer: Hur DNSSEC kommer att hjälpa till att säkra Internet och hur SOPA gjorde det nästan olagligt
Bildkredit: Andrew Kuznetsov på Flickr, Jemimus på Flickr, NASA