Zatruwanie pamięci podręcznej DNS, znane również jako podszywanie się pod DNS, to rodzaj ataku wykorzystującego luki w systemie nazw domen (DNS) w celu skierowania ruchu internetowego z dala od legalnych serwerów i na fałszywe.
Jednym z powodów, dla których zatruwanie systemu DNS jest tak niebezpieczne, jest możliwość rozprzestrzeniania się z serwera DNS na serwer DNS. W 2010 r. Wydarzenie zatrucia DNS spowodowało tymczasową ucieczkę Wielkiej Granicy Chin przed chińskimi granicami, cenzurowanie Internetu w USA, dopóki problem nie zostanie rozwiązany.
Gdy komputer kontaktuje się z nazwą domeny, np. "Google.com", musi najpierw skontaktować się z serwerem DNS. Serwer DNS odpowiada jednym lub większą liczbą adresów IP, na których komputer może dotrzeć do witryny google.com. Twój komputer następnie łączy się bezpośrednio z tym numerycznym adresem IP. DNS konwertuje czytelne dla człowieka adresy, takie jak "google.com", na czytelne dla komputera adresy IP, np. "173.194.67.102".
Internet nie ma tylko jednego serwera DNS, ponieważ byłoby to niezwykle nieefektywne. Twój usługodawca internetowy uruchamia własne serwery DNS, które przechowują informacje z pamięci podręcznej z innych serwerów DNS. Router domowy działa jako serwer DNS, który buforuje informacje z serwerów DNS usługodawcy internetowego. Komputer ma lokalną pamięć podręczną DNS, dzięki czemu może szybko odnieść się do wyszukiwań DNS, które już zostały wykonane, zamiast wykonywać wyszukiwanie DNS w kółko.
Bufor DNS może zostać zatruty, jeśli zawiera niepoprawny wpis. Na przykład, jeśli osoba atakująca przejmie kontrolę nad serwerem DNS i zmieni niektóre informacje na jego temat - na przykład może powiedzieć, że adres google.com wskazuje na adres IP, który atakujący posiada - że serwer DNS poinformuje użytkowników o tym, aby wyglądali dla Google.com pod niewłaściwym adresem. Adres atakującego może zawierać złośliwą stronę wyłudzającą informacje
Zatrucie DNS w ten sposób może również rozprzestrzeniać się. Na przykład, jeśli różni dostawcy usług internetowych uzyskują informacje DNS z zaatakowanego serwera, zatruty wpis DNS rozprzestrzeni się na dostawców usług internetowych i będzie tam przechowywany. Następnie rozprzestrzeni się na routery domowe i pamięci podręczne DNS na komputerach, gdy sprawdzą wpis DNS, otrzymają niepoprawną odpowiedź i zachowają ją.
To nie jest tylko problem teoretyczny - zdarzyło się to w realnym świecie na dużą skalę. Jednym ze sposobów działania Great Firewall w Chinach jest blokowanie na poziomie DNS. Na przykład witryna zablokowana w Chinach, taka jak twitter.com, może mieć swoje rekordy DNS wskazujące na nieprawidłowy adres na serwerach DNS w Chinach. To spowodowałoby, że Twitter byłby niedostępny za pomocą normalnych środków. Pomyśl o tym, że Chiny celowo zatruwają własne pamięci podręczne serwerów DNS.
W 2010 r. Dostawca usług internetowych poza Chinami błędnie skonfigurował swoje serwery DNS w celu pobierania informacji z serwerów DNS w Chinach. Pobrał niepoprawne rekordy DNS z Chin i zapisał je w pamięci podręcznej na własnych serwerach DNS. Inni dostawcy usług internetowych pobrali informacje DNS od tego usługodawcy internetowego i użyli go na swoich serwerach DNS. Zatrute wpisy DNS nadal rozprzestrzeniały się, dopóki niektóre osoby w USA nie miały dostępu do Twittera, Facebooka i YouTube w swoich amerykańskich usługodawcach internetowych. Wielka zapora ogniowa Chin "wyciekła" poza granice państw, uniemożliwiając dostęp do tych stron osobom z innych części świata. To zasadniczo funkcjonowało jako atak na zatruwanie DNS na dużą skalę. (Źródło.)
Prawdziwym powodem zatrucia pamięci podręcznej DNS jest taki problem, ponieważ nie istnieje żaden sposób sprawdzenia, czy otrzymane odpowiedzi DNS są rzeczywiście uzasadnione lub czy zostały zmanipulowane.
Długotrwałe rozwiązanie problemu zatruwania pamięci podręcznej DNS to DNSSEC. DNSSEC pozwoli organizacjom na podpisywanie swoich rekordów DNS przy użyciu kryptografii z kluczem publicznym, zapewniając, że komputer będzie wiedział, czy rekord DNS powinien być zaufany, czy został on zatruty i przekierowany do niewłaściwej lokalizacji.
Image Credit: Andrew Kuznetsov w serwisie Flickr, Jemimus on Flickr, NASA
