Domovská » jak » Co je DNS cache otravy?

    Co je DNS cache otravy?

    Otrava mezipaměti DNS, známá také jako spoofing DNS, je typ útoku, který zneužívá zranitelná místa v systému DNS (Domain Name System) k odklonu internetového provozu od legálních serverů a směrem k falešným serverům.

    Jedním z důvodů otravy DNS je tak nebezpečné, protože se může šířit ze serveru DNS na server DNS. V roce 2010 došlo k otravě DNS, kdy Velká čínská firewall dočasně unikla hranicím Číny, cenzurovala internet v USA, dokud nebyl problém vyřešen.

    Jak DNS funguje

    Kdykoli se váš počítač obrátí na název domény, jako je "google.com", musí se nejprve obrátit na svůj server DNS. Server DNS odpovídá na jednu nebo více adres IP, na kterých může počítač dosáhnout adresy google.com. Počítač se pak přímo připojí na danou číselnou adresu IP. DNS převádí adresy, které lze číst jako člověk, jako je google.com, na adresy IP čitelné počítačem, jako je například "173.194.67.102".

    • Více informací: HTG vysvětluje: Co je DNS?

    Ukládání DNS do mezipaměti

    Internet nemá pouze jeden DNS server, protože by byl mimořádně neúčinný. Poskytovatel internetových služeb provozuje své vlastní servery DNS, které ukládají do mezipaměti informace z jiných serverů DNS. Váš domovský směrovač funguje jako server DNS, který ukládá informace ze servery DNS poskytovatele ISP. Váš počítač má lokální mezipaměť DNS, takže může rychle a rychle vyhledávat vyhledávání DNS, které již bylo provedeno, než vyhledávání DNS znovu a znovu.

    DNS cache otravy

    Cache DNS se může otrávit, pokud obsahuje nesprávný záznam. Například pokud útočník získá kontrolu nad serverem DNS a změní některé informace na něm - například by mohl říci, že google.com skutečně odkazuje na adresu IP, kterou útočník vlastní - ten DNS server by řekl svým uživatelům, aby vypadali pro Google.com na nesprávné adrese. Adresa útočníka by mohla obsahovat nějaký druh škodlivého phishingového webu

    Také otravy DNS se mohou také rozšířit. Například pokud různí poskytovatelé internetových služeb získají informace o DNS z ohroženého serveru, otrávená položka DNS se rozšíří na poskytovatele internetových služeb a tam bude uložena do mezipaměti. Potom se rozšíří do domovských směrovačů a vyrovnávací paměti DNS v počítačích, když vyhledávají položku DNS, obdrží nesprávnou odpověď a uloží ji.

    Velký firewall Číny se šíří do USA

    Není to jen teoretický problém - ve velkém měřítku se to stalo v reálném světě. Jedním ze způsobů, jakými funguje Čínská velká brána firewall, je blokování na úrovni DNS. Například webové stránky zablokované v Číně, jako je twitter.com, mohou mít záznamy DNS na špatné adrese na serverech DNS v Číně. To by vedlo k tomu, že by Twitter nebyl běžnými prostředky nepřístupný. Přemýšlejte o tom, protože Čína záměrně otráví své vlastní vyrovnávací paměti DNS serverů.

    V roce 2010 poskytovatel internetových služeb mimo Čínu mylně nakonfiguroval své servery DNS, aby získal informace ze serverů DNS v Číně. Načte nesprávné záznamy DNS z Číny a ukládejte je na své servery DNS. Další poskytovatelé internetových služeb načtávali informace o DNS od poskytovatele internetových služeb a používali je na svých serverech DNS. Otevírané položky DNS se dále šířily, dokud někteří lidé v USA nebudou mít přístup k Twitteru, Facebooku a YouTube svým poskytovatelům amerických internetových služeb. Velký firewall Číny "unikl" mimo své národní hranice, bránící lidem z jiných částí světa, aby měli přístup k těmto webovým stránkám. To v podstatě fungovalo jako rozsáhlý útok na otravu DNS. (Zdroj.)

    Řešení

    Skutečný důvod otravy DNS cache je takový problém je, protože neexistuje žádný skutečný způsob, jak zjistit, zda jsou odpovědi DNS, které obdržíte, skutečně legitimní nebo zda byly manipulovány.

    Dlouhodobým řešením otravy DNS cache je DNSSEC. Služba DNSSEC umožní organizacím podepisovat záznamy DNS pomocí kryptografie s veřejným klíčem, což zajistí, že váš počítač bude vědět, zda má být důvěryhodný záznam DNS nebo zda byl otráven a přesměrován na nesprávné umístění.

    • Přečtěte si více: Jak služba DNSSEC pomůže zabezpečit internet a jak je SOPA téměř nelegální

    Image Credit: Andrew Kuznetsov na Flickr, Jemimus na Flickru, NASA