Domača » kako » Kaj je zastrupitev predpomnilnika DNS?

    Kaj je zastrupitev predpomnilnika DNS?

    Zastrupitev predpomnilnika DNS, znana tudi kot prevara DNS, je vrsta napada, ki izkorišča ranljivosti v sistemu domenskih imen (DNS) za preusmeritev internetnega prometa od legitimnih strežnikov in do lažnih.

    Eden od razlogov, zakaj je zastrupitev DNS tako nevarna, je ta, da se lahko širi iz DNS strežnika na DNS strežnik. Leta 2010 je dogodek z zastrupitvijo z DNS povzročil, da je kitajski Veliki požarni zid začasno pobegnil iz nacionalnih meja Kitajske in cenzuriral internet v ZDA, dokler se težava ni odpravila..

    Kako deluje DNS

    Kadarkoli se računalnik poveže z imenom domene, kot je »google.com«, mora najprej stopiti v stik z DNS strežnikom. Strežnik DNS se odzove z enim ali več naslovi IP, kjer lahko računalnik doseže google.com. Računalnik se nato neposredno poveže s tem številskim naslovom IP. DNS pretvori berljive naslove, kot je »google.com«, v računalniško berljive naslove IP, na primer »173.194.67.102«.

    • Preberite več: HTG pojasnjuje: Kaj je DNS?

    Predpomnjenje DNS

    Internet nima samo enega DNS strežnika, saj bi bil to izjemno neučinkovit. Vaš ponudnik internetnih storitev ima lastne strežnike DNS, ki shranjujejo informacije iz drugih strežnikov DNS. Vaš domači usmerjevalnik deluje kot strežnik DNS, ki shranjuje informacije iz DNS strežnikov vašega ponudnika internetnih storitev. Vaš računalnik ima lokalni predpomnilnik DNS, tako da se lahko hitro sklicuje na poizvedbe DNS, ki so že opravljene, namesto da vedno znova izvede iskanje DNS..

    Zastrupitev predpomnilnika DNS

    Predpomnilnik DNS se lahko zastrupil, če vsebuje napačen vnos. Na primer, če napadalec dobi nadzor nad strežnikom DNS in spremeni nekatere informacije o njem - na primer, lahko reče, da google.com dejansko kaže na naslov IP, ki ga ima napadalec - da bi strežnik DNS sporočil svojim uporabnikom, da si ogledajo za Google.com na napačnem naslovu. Naslov napadalca lahko vsebuje nekakšno zlonamerno spletno mesto z lažnim predstavljanjem

    Tako zastrupitev DNS se lahko širi. Na primer, če različni ponudniki internetnih storitev pridobivajo svoje DNS informacije iz ogroženega strežnika, se bo zastrupljen vnos DNS razširil na ponudnike internetnih storitev in tam predpomnil. Nato se bo razširil na domače usmerjevalnike in predpomnilnike DNS na računalnikih, ko bodo iskali vnos DNS, prejeli napačen odgovor in ga shranili..

    Veliki kitajski požarni zid sega v ZDA

    To ni le teoretični problem - to se je v velikem obsegu zgodilo v resničnem svetu. Eden od načinov delovanja kitajskega Great Firewalla je blokiranje na ravni DNS. Na primer, spletna stran, ki je blokirana na Kitajskem, kot je twitter.com, ima lahko zapis DNS napačen naslov na strežnikih DNS na Kitajskem. To bi povzročilo, da bi bila Twitter z običajnimi sredstvi nedostopna. Pomislite na to, kot je Kitajska namerno zastrupila svoje predpomnilnike DNS strežnika.

    Leta 2010 je ponudnik internetnih storitev zunaj Kitajske napačno konfiguriral strežnike DNS za pridobivanje informacij iz strežnikov DNS na Kitajskem. Iz Kitajske je prenesel napačne zapise DNS in jih shranil v svoje DNS strežnike. Drugi ponudniki internetnih storitev so pridobili informacije DNS od tega ponudnika internetnih storitev in jih uporabili na svojih strežnikih DNS. Zastrupljeni vnosi DNS so se še naprej širili, dokler nekateri ljudje v ZDA niso imeli dostopa do Twitterja, Facebooka in YouTube na svojih ameriških ponudnikih internetnih storitev. Veliki kitajski požarni zid je »prepuščal« zunaj svojih nacionalnih meja in preprečil ljudem drugod po svetu dostop do teh spletnih strani. To je v bistvu delovalo kot obsežen DNS zastrupitveni napad. (Vir.)

    Rešitev

    Pravi razlog za zastrupitev predpomnilnika DNS je tak problem, ker ni pravega načina za ugotavljanje, ali so odzivi DNS, ki jih prejmete, dejansko zakoniti ali so bili manipulirani.

    Dolgoročna rešitev za zastrupitev predpomnilnika DNS je DNSSEC. DNSSEC bo organizacijam omogočil, da bodo podpisale svoje zapise DNS s kriptografijo javnega ključa, s čimer bo vaš računalnik vedel, ali naj bo zapis DNS zaupan ali je bil zastrupljen in preusmerjen na napačno lokacijo..

    • Preberite več: Kako bo DNSSEC pomagal zavarovati internet in kako je SOPA skoraj postala nezakonita

    Image Credit: Andrew Kuznetsov na Flickr, Jemimus na Flickr, NASA