Что такое отравление DNS-кэша?
Отравление кэша DNS, также известное как спуфинг DNS, является типом атаки, использующей уязвимости в системе доменных имен (DNS), чтобы отвлечь интернет-трафик от законных серверов и сделать их поддельными..
Одна из причин, по которой DNS-отравление является настолько опасным, заключается в том, что он может распространяться с DNS-сервера на DNS-сервер. В 2010 году отравление DNS привело к тому, что Великий брандмауэр Китая временно покинул национальные границы Китая, подвергая цензуре Интернет в США до устранения проблемы..
Как работает DNS
Всякий раз, когда ваш компьютер связывается с доменным именем, например «google.com», он должен сначала связаться со своим DNS-сервером. DNS-сервер отвечает одним или несколькими IP-адресами, по которым ваш компьютер может связаться с google.com. Затем ваш компьютер подключается напрямую к этому числовому IP-адресу. DNS преобразует читаемые человеком адреса, такие как «google.com», в читаемые компьютером IP-адреса, например «173.194.67.102».
- Подробнее: HTG объясняет: что такое DNS?
DNS-кеширование
Интернет не просто имеет один DNS-сервер, так как это было бы крайне неэффективно. Ваш интернет-провайдер использует собственные DNS-серверы, которые кэшируют информацию с других DNS-серверов. Ваш домашний маршрутизатор функционирует как DNS-сервер, который кэширует информацию с DNS-серверов вашего провайдера. Ваш компьютер имеет локальный кэш DNS, поэтому он может быстро ссылаться на поиск DNS, который уже выполнен, а не выполнять поиск DNS снова и снова.
Отравление кеша DNS
Кэш DNS может быть отравлен, если он содержит неверную запись. Например, если злоумышленник получает контроль над DNS-сервером и изменяет некоторую информацию на нем - например, он может сказать, что google.com фактически указывает на IP-адрес, которым владеет злоумышленник, - что DNS-сервер скажет своим пользователям посмотреть для Google.com по неправильному адресу. Адрес злоумышленника может содержать вредоносный фишинговый сайт
Отравление DNS, подобное этому, также может распространяться. Например, если различные интернет-провайдеры получают свою DNS-информацию с скомпрометированного сервера, отравленная запись DNS будет распространяться среди интернет-провайдеров и кэшироваться там. Затем он будет распространяться на домашние маршрутизаторы и кеши DNS на компьютерах, когда они ищут запись DNS, получают неправильный ответ и сохраняют его..
Великий брандмауэр Китая распространяется на США
Это не просто теоретическая проблема - это произошло в реальном мире в больших масштабах. Одним из способов работы Great Firewall в Китае является блокировка на уровне DNS. Например, на заблокированном в Китае веб-сайте, таком как twitter.com, могут быть указаны DNS-записи, указывающие на неправильный адрес на DNS-серверах в Китае. Это приведет к тому, что Twitter станет недоступным обычным способом. Думайте об этом как о Китае, преднамеренно отравляющем свои собственные кэши DNS-сервера.
В 2010 году интернет-провайдер за пределами Китая по ошибке настроил свои DNS-серверы на получение информации с DNS-серверов в Китае. Он получил неправильные записи DNS из Китая и кэшировал их на своих DNS-серверах. Другие интернет-провайдеры получили информацию DNS от этого интернет-провайдера и использовали ее на своих DNS-серверах. Отравленные записи DNS продолжали распространяться до тех пор, пока некоторые американцы не получили доступ к Twitter, Facebook и YouTube через своих американских интернет-провайдеров. Великий брандмауэр Китая «просочился» за пределы своих национальных границ, не давая людям из других стран мира получить доступ к этим веб-сайтам. По сути, это функционировало как масштабная атака отравления DNS. (Источник.)
Решение
Настоящая причина, по которой отравление DNS-кэша является такой проблемой, заключается в том, что нет никакого реального способа определить, являются ли ответы DNS, которые вы получаете, на самом деле законными или манипулировали ими.
Долгосрочным решением проблемы отравления DNS-кэша является DNSSEC. DNSSEC позволит организациям подписывать свои записи DNS с помощью криптографии с открытым ключом, гарантируя, что ваш компьютер будет знать, следует ли доверять записи DNS или она была отравлена и перенаправляет в неправильное местоположение.
- Подробнее: Как DNSSEC поможет защитить Интернет и как SOPA почти сделала его незаконным
Image Credit: Андрей Кузнецов на Flickr, Джемимус на Flickr, НАСА