Τι είναι το DNS Cache Poisoning;

Η δηλητηρίαση από την προσωρινή μνήμη DNS, επίσης γνωστή ως πλαστογράφηση DNS, είναι ένας τύπος επίθεσης που εκμεταλλεύεται τρωτά σημεία στο σύστημα ονομάτων τομέα (DNS) για να εκτρέψει την κίνηση στο Διαδίκτυο από νόμιμους διακομιστές και προς ψεύτικους.

Ένας από τους λόγους για τους οποίους η δηλητηρίαση DNS είναι τόσο επικίνδυνη είναι επειδή μπορεί να εξαπλωθεί από διακομιστή DNS σε διακομιστή DNS. Το 2010, ένα γεγονός δηλητηρίασης DNS είχε ως αποτέλεσμα το Μεγάλο Τείχος προστασίας της Κίνας να ξεφύγει προσωρινά από τα εθνικά σύνορα της Κίνας, λογοκρίνοντας το Διαδίκτυο στις ΗΠΑ έως ότου επιλυθεί το πρόβλημα.

Πώς λειτουργεί το DNS

Κάθε φορά που ο υπολογιστής σας έρχεται σε επαφή με ένα όνομα τομέα όπως το "google.com", πρέπει πρώτα να επικοινωνήσει με τον διακομιστή DNS του. Ο διακομιστής DNS αποκρίνεται με μία ή περισσότερες διευθύνσεις IP στις οποίες ο υπολογιστής σας μπορεί να μεταβεί στο google.com. Ο υπολογιστής σας στη συνέχεια συνδέεται απευθείας με αυτήν την αριθμητική διεύθυνση IP. Το DNS μετατρέπει διευθύνσεις αναγνώσιμες από τον άνθρωπο, όπως το "google.com" σε διευθύνσεις IP αναγνώσιμες από υπολογιστή, όπως "173.194.67.102".

  • Διαβάστε περισσότερα: Το HTG εξηγεί: Τι είναι το DNS;

Προσωρινή αποθήκευση DNS

Το Διαδίκτυο δεν διαθέτει μόνο έναν διακομιστή DNS, καθώς αυτό θα ήταν εξαιρετικά αναποτελεσματικό. Ο πάροχος υπηρεσιών Διαδικτύου εκτελεί τους δικούς του διακομιστές DNS, οι οποίοι αποθηκεύουν προσωρινά πληροφορίες από άλλους διακομιστές DNS. Ο οικιακός δρομολογητής σας λειτουργεί ως διακομιστής DNS, ο οποίος αποθηκεύει πληροφορίες από τους διακομιστές DNS του ISP σας. Ο υπολογιστής σας διαθέτει τοπική προσωρινή μνήμη DNS, οπότε μπορεί γρήγορα να αναφέρεται σε αναζητήσεις DNS που έχει ήδη εκτελεστεί αντί να εκτελεί αναζήτηση DNS ξανά και ξανά.

Δηλητηρίαση προσωρινής μνήμης DNS

Μια προσωρινή μνήμη DNS μπορεί να δηλητηριαστεί εάν περιέχει λανθασμένη καταχώριση. Για παράδειγμα, εάν ένας εισβολέας αποκτήσει τον έλεγχο ενός διακομιστή DNS και αλλάξει ορισμένες από τις πληροφορίες του - για παράδειγμα, θα μπορούσε να πει ότι το google.com δείχνει πραγματικά μια διεύθυνση IP που κατέχει ο εισβολέας - ότι ο διακομιστής DNS θα έλεγε στους χρήστες του να κοιτάξουν για το Google.com σε λάθος διεύθυνση. Η διεύθυνση του εισβολέα θα μπορούσε να περιέχει κάποιο κακόβουλο ιστότοπο ηλεκτρονικού ψαρέματος (phishing)

Η δηλητηρίαση DNS όπως αυτό μπορεί επίσης να εξαπλωθεί. Για παράδειγμα, εάν διάφοροι πάροχοι υπηρεσιών Διαδικτύου λαμβάνουν τις πληροφορίες DNS τους από τον παραβιασμένο διακομιστή, η δηλητηριασμένη καταχώριση DNS θα εξαπλωθεί στους παρόχους υπηρεσιών Διαδικτύου και θα αποθηκευτεί εκεί προσωρινά. Στη συνέχεια, θα εξαπλωθεί σε οικιακούς δρομολογητές και στις προσωρινές μνήμες DNS σε υπολογιστές καθώς αναζητούν την καταχώριση DNS, θα λάβουν τη λανθασμένη απόκριση και θα την αποθηκεύσουν.

Το Μεγάλο Τείχος προστασίας της Κίνας εξαπλώνεται στις ΗΠΑ

Αυτό δεν είναι απλώς ένα θεωρητικό πρόβλημα - έχει συμβεί στον πραγματικό κόσμο σε μεγάλη κλίμακα. Ένας από τους τρόπους με τους οποίους λειτουργεί το Μεγάλο Τείχος προστασίας της Κίνας είναι ο αποκλεισμός σε επίπεδο DNS. Για παράδειγμα, ένας ιστότοπος που έχει αποκλειστεί στην Κίνα, όπως το twitter.com, μπορεί να έχει τις εγγραφές DNS του να δείχνουν εσφαλμένη διεύθυνση σε διακομιστές DNS στην Κίνα. Αυτό θα είχε ως αποτέλεσμα το Twitter να μην είναι προσβάσιμο με κανονικά μέσα. Σκεφτείτε το αυτό καθώς η Κίνα δηλητηριάζει σκόπιμα τις δικές της κρυφές μνήμες διακομιστών DNS.

Το 2010, ένας πάροχος υπηρεσιών Διαδικτύου εκτός της Κίνας διαμόρφωσε εσφαλμένα τους διακομιστές DNS για να πάρει πληροφορίες από διακομιστές DNS στην Κίνα. Πήρε τα λανθασμένα αρχεία DNS από την Κίνα και τα αποθηκεύτηκε στους δικούς της διακομιστές DNS. Άλλοι πάροχοι υπηρεσιών Διαδικτύου ανέκτησαν πληροφορίες DNS από αυτόν τον πάροχο υπηρεσιών Διαδικτύου και τις χρησιμοποίησαν στους διακομιστές DNS τους. Οι δηλητηριασμένες καταχωρίσεις DNS εξακολούθησαν να εξαπλώνονται έως ότου ορισμένα άτομα στις ΗΠΑ αποκλείστηκαν από την πρόσβαση στο Twitter, το Facebook και το YouTube στους αμερικάνους παρόχους υπηρεσιών Διαδικτύου. Το Μεγάλο Τείχος προστασίας της Κίνας είχε «διαρρεύσει» έξω από τα εθνικά του σύνορα, εμποδίζοντας την πρόσβαση αυτών των ιστότοπων σε άτομα από αλλού στον κόσμο. Αυτό λειτουργούσε ουσιαστικά ως επίθεση δηλητηρίασης DNS μεγάλης κλίμακας. (Πηγή.)

Η λύση

Ο πραγματικός λόγος δηλητηρίασης της προσωρινής μνήμης DNS είναι ένα τέτοιο πρόβλημα είναι επειδή δεν υπάρχει πραγματικός τρόπος να προσδιοριστεί εάν οι αποκρίσεις DNS που λαμβάνετε είναι πραγματικά νόμιμες ή εάν έχουν υποστεί χειρισμούς.

Η μακροπρόθεσμη λύση για δηλητηρίαση προσωρινής μνήμης DNS είναι DNSSEC. Το DNSSEC θα επιτρέπει στους οργανισμούς να υπογράφουν τις εγγραφές DNS τους χρησιμοποιώντας κρυπτογράφηση δημόσιου κλειδιού, διασφαλίζοντας ότι ο υπολογιστής σας θα γνωρίζει εάν μια εγγραφή DNS πρέπει να είναι αξιόπιστη ή αν έχει δηλητηριαστεί και ανακατευθύνει σε εσφαλμένη τοποθεσία.

  • Διαβάστε περισσότερα: Πώς το DNSSEC θα βοηθήσει στην ασφάλεια του Διαδικτύου και πώς το SOPA το έκανε σχεδόν παράνομο

Πιστωτική εικόνα: Andrew Kuznetsov στο Flickr, Jemimus στο Flickr, NASA