Mi a DNS-gyorsítótár-mérgezés?

A DNS-gyorsítótár-mérgezés, más néven DNS-hamisítás, egy olyan típusú támadás, amely a domainnév-rendszer (DNS) biztonsági réseit kihasználva tereli el az internetes forgalmat a jogos szerverekről és hamisak felé.

Az egyik oka annak, hogy a DNS-mérgezés olyan veszélyes, mert átterjedhet a DNS-kiszolgálóról a DNS-kiszolgálóra. 2010-ben egy DNS-mérgezési esemény eredményeként Kína Nagy Tűzfala ideiglenesen megszökött Kína nemzeti határairól, és az USA-ban cenzúrázta az internetet, amíg a probléma meg nem oldódott.

Hogyan működik a DNS

Amikor számítógépe kapcsolatba lép egy olyan domainnévvel, mint a „google.com”, először kapcsolatba kell lépnie a DNS-szerverével. A DNS-szerver egy vagy több IP-címmel válaszol, ahol a számítógép el tudja érni a google.com címet. A számítógép ezután közvetlenül csatlakozik ahhoz a numerikus IP-címhez. A DNS átalakítja az ember által olvasható címeket, például a „google.com”, számítógéppel olvasható IP-címekké, például „173.194.67.102”.

  • További információ: A HTG elmagyarázza: Mi az a DNS?

DNS gyorsítótár

Az Internet nem csak egyetlen DNS-kiszolgálóval rendelkezik, mivel ez rendkívül nem hatékony. Az internetszolgáltató saját DNS-kiszolgálókat üzemeltet, amelyek más DNS-kiszolgálókról tárolják az információkat. Az otthoni útválasztó DNS-kiszolgálóként működik, amely az internetszolgáltató DNS-kiszolgálóiról tárolja az információkat. A számítógép rendelkezik helyi DNS-gyorsítótárral, így gyorsan hivatkozhat a már végrehajtott DNS-keresésekre, ahelyett, hogy újra és újra elvégezné a DNS-keresést.

DNS-gyorsítótár-mérgezés

A DNS-gyorsítótár mérgeződhet, ha helytelen bejegyzést tartalmaz. Például, ha a támadó megszerzi a DNS-kiszolgáló irányítását, és megváltoztatja a rajta lévő információk egy részét - például azt mondhatnák, hogy a google.com valójában egy olyan IP-címre mutat, amely a támadónak van -, akkor a DNS-kiszolgáló megmondaná a felhasználóinak, hogy keressenek a Google.com webhelyhez rossz címen. A támadó címe tartalmazhat valamilyen rosszindulatú adathalász weboldalt

Az ilyen DNS-mérgezés is terjedhet. Például, ha különböző internetes szolgáltatók a megsértett szervertől kapják meg a DNS-információkat, a megmérgezett DNS-bejegyzés átterjed az internetszolgáltatókra, és ott tárolódik. Ezután átterjed az otthoni útválasztókra és a számítógépek DNS-gyorsítótáraira, amikor megkeresik a DNS-bejegyzést, megkapják a helytelen választ és tárolják.

Kína nagy tűzfala elterjedt az Egyesült Államokban

Ez nem csak elméleti probléma - a valós világban nagy léptékben történt. A kínai nagy tűzfal egyik módja a blokkolás a DNS-szinten. Például egy Kínában letiltott webhely, például a twitter.com DNS-rekordjainak helytelen címe lehet a kínai DNS-kiszolgálókon. Ez azt eredményezné, hogy a Twitter normál eszközökkel nem elérhető. Gondoljon erre úgy, hogy Kína szándékosan megmérgezi saját DNS-kiszolgálója gyorsítótárát.

2010-ben egy Kínán kívüli internetszolgáltató tévesen úgy konfigurálta a DNS-kiszolgálóit, hogy információkat nyerjen a kínai DNS-kiszolgálókról. A hibás DNS-rekordokat behozta Kínából, és a saját DNS-kiszolgálóin tárolta azokat. Más internetszolgáltatók DNS-információkat szereztek be attól az internetszolgáltatótól, és használták fel őket DNS-kiszolgálóikon. A megmérgezett DNS bejegyzések tovább terjedtek, amíg az Egyesült Államokban egyes embereket letiltottak a Twitter, a Facebook és a YouTube eléréséről amerikai internetes szolgáltatóikon. Kína nagy tűzfala „kiszivárgott” országhatárán kívül, megakadályozva, hogy a világ más részeiről érkező emberek hozzáférjenek ezekhez a weboldalakhoz. Ez lényegében nagyszabású DNS-mérgezési támadásként működött. (Forrás.)

A megoldás

A DNS-gyorsítótár mérgezésének valós oka az, hogy nincs valós módja annak megállapítására, hogy a kapott DNS-válaszok valóban jogosak-e, vagy manipulálták-e őket.

A DNS gyorsítótár-mérgezés hosszú távú megoldása a DNSSEC. A DNSSEC lehetővé teszi a szervezetek számára, hogy nyilvános kulcsú titkosítással írják alá a DNS-rekordjaikat, biztosítva, hogy a számítógép tudja, hogy megbízhatónak kell-e lennie a DNS-rekordoknak, vagy megmérgezték-e, és helytelen helyre irányít-e át.

  • További információ: Hogyan segít a DNSSEC az internet biztonságában, és hogyan tette majdnem illegálissá az SOPA

Kép hitel: Andrew Kuznetsov a Flickr-en, Jemimus a Flickr-en, a NASA