Az egyik oka annak, hogy a DNS mérgezés olyan veszélyes, mert terjedhet a DNS szerverről a DNS szerverre. 2010-ben egy DNS-mérgezési esemény azt eredményezte, hogy a Kínai Nagy Tűzfal átmenetileg elhagyta a kínai határokat, cenzúrázva az internetet az USA-ban, amíg a probléma megoldódott.
A DNS működése
Amikor a számítógép egy olyan domain nevet keres, mint a "google.com", akkor először lépjen kapcsolatba a DNS-kiszolgálójával. A DNS-kiszolgáló egy vagy több IP-címmel válaszol, ahol a számítógép elérheti a google.com webhelyet. A számítógép közvetlenül csatlakozik ehhez a számszerű IP-címhez. A DNS átalakítja az ember által olvasható címeket, például a "google.com" -ot olyan számítógéppel olvasható IP-címekhez, mint a "173.194.67.102".
További információ: HTG Magyarázza: Mi a DNS?
DNS gyorsítótár
Az internet nem csak egyetlen DNS-kiszolgálóval rendelkezik, mivel ez rendkívül hatékony lenne. Internetszolgáltatója saját DNS-kiszolgálókat futtat, amelyek gyorsítótárakat más DNS-kiszolgálókról. Az otthoni útválasztó DNS-kiszolgálóként működik, amely információkat tárol az internetszolgáltató DNS-kiszolgálóiról. A számítógépen helyi DNS-gyorsítótár található, így gyorsan megkeresheti a DNS-lekérdezést, amely már végrehajtotta a DNS-keresést, nem pedig újra és újra.
DNS gyorsítótár mérgezés
A DNS-gyorsítótár mérgező lehet, ha helytelen bejegyzést tartalmaz. Ha például egy támadó DNS-kiszolgáló irányítását választja és megváltoztatja néhány információt - pl. Azt mondhatják, hogy a google.com valójában egy olyan IP-címet jelöl meg, amelyet a támadó birtokolja -, hogy a DNS-kiszolgáló megmondja a felhasználóknak, hogy nézzenek meg a Google.com webhelyen rossz címre. A támadó cím tartalmazhat valamilyen rosszindulatú adathalász webhelyet
A DNS mérgezés ilyen módon terjedhet. Például ha különböző internetszolgáltatók DNS-adatokat kapnak a kiszolgált kiszolgálóról, akkor a mérgezett DNS-bejegyzés az internetszolgáltatókra terjeszkedik és ott tárolódik. Ezután átterjed a hazai forgalomirányítókra és a DNS-tárolókra a számítógépeken, amikor megkeresi a DNS-bejegyzést, megkapja a helytelen választ, és tárolja.
Kína nagy tűzfalát az USA-ba terjeszti
Ez nem csak elméleti probléma - a valóságban nagy léptékben történt. Az egyik módja annak, hogy a kínai nagy tűzfal működik a DNS szintjén blokkolva. Például egy Kínában blokkolt weboldal, például a twitter.com, DNS-nyilvántartása lehet, hogy a DNS-kiszolgálókon helytelen címet mutatott ki Kínában. Ez azt eredményezné, hogy a Twitter nem elérhető a szokásos módon. Gondolj erre, mivel Kína szándékosan mérgezi meg saját DNS-kiszolgáló gyorsítótárát.
2010-ben egy Kínán kívüli internetszolgáltató tévesen konfigurálta DNS-kiszolgálóit, hogy információt szerezzen a DNS-kiszolgálókról Kínában. Megkapták a helytelen DNS-rekordokat Kínából, és tárolták őket saját DNS-kiszolgálókon. Más internetszolgáltatók DNS-adatokat gyűjtöttek az internetszolgáltatótól, és DNS-kiszolgálókon használták. A mérgezett DNS bejegyzések tovább terjedtek, amíg az Egyesült Államok egyes tagjait megakadályozták a Twitteren, a Facebookon és a YouTube-on az amerikai internetes szolgáltatókhoz való hozzáféréssel. Kínai Nagy Tűzfal "szivárgott" a nemzeti határain kívül, megakadályozva, hogy az emberek a világ más részein hozzáférjenek ezekhez a weboldalakhoz. Ez lényegében nagyméretű DNS mérgezési támadásként működött. (Forrás.)
A megoldás
A DNS-gyorsítótár mérgezésének valódi oka egy ilyen probléma, mert nincs valódi módja annak meghatározására, hogy a kapott DNS-válaszok valóban jogosak-e, vagy manipuláltak-e.
A DNS-gyorsítótár mérgezés hosszú távú megoldása a DNSSEC. A DNSSEC lehetővé teszi a szervezetek számára, hogy DNS-rekordjaikat nyilvános kulcsú titkosítással írják alá, biztosítva, hogy a számítógép tudja, hogy megbízható-e DNS-rekord, vagy mérgezik-e és helytelen helyre irányítja-e.
