Что такое отравление кеша DNS?

Отравление кеша DNS, также известное как спуфинг DNS, представляет собой тип атаки, использующий уязвимости в системе доменных имен (DNS) для перенаправления интернет-трафика с легитимных серверов на поддельные.

Одна из причин, по которой отравление DNS так опасно, заключается в том, что оно может распространяться с DNS-сервера на DNS-сервер. В 2010 году в результате заражения DNS Великий китайский брандмауэр временно покинул национальные границы Китая, подвергая Интернет в США цензуре до тех пор, пока проблема не была устранена.

Как работает DNS

Всякий раз, когда ваш компьютер обращается к доменному имени, например «google.com», он должен сначала связаться со своим DNS-сервером. DNS-сервер отвечает одним или несколькими IP-адресами, по которым ваш компьютер может получить доступ к google.com. Затем ваш компьютер подключается напрямую к этому числовому IP-адресу. DNS преобразует удобочитаемые адреса, такие как «google.com», в машиночитаемые IP-адреса, такие как «173.194.67.102».

  • Подробнее: HTG объясняет: что такое DNS?

Кеширование DNS

В Интернете нет единственного DNS-сервера, поскольку это было бы крайне неэффективно. Ваш интернет-провайдер использует свои собственные DNS-серверы, которые кэшируют информацию с других DNS-серверов. Ваш домашний маршрутизатор работает как DNS-сервер, который кэширует информацию с DNS-серверов вашего интернет-провайдера. На вашем компьютере есть локальный DNS-кеш, поэтому он может быстро обращаться к уже выполненным DNS-поискам, а не выполнять DNS-поиск снова и снова.

Отравление кеша DNS

Кеш DNS может стать отравленным, если он содержит неправильную запись. Например, если злоумышленник получает контроль над DNS-сервером и изменяет некоторую информацию на нем - например, они могут сказать, что google.com действительно указывает на IP-адрес, которым владеет злоумышленник, - этот DNS-сервер скажет своим пользователям посмотреть для Google.com по неправильному адресу. Адрес злоумышленника может содержать вредоносный фишинговый сайт.

Подобное отравление DNS также может распространяться. Например, если различные поставщики интернет-услуг получают информацию о DNS от взломанного сервера, зараженная запись DNS будет распространяться на провайдеров интернет-услуг и кэшироваться там. Затем он будет распространяться на домашние маршрутизаторы и кеши DNS на компьютерах, когда они ищут запись DNS, получают неправильный ответ и сохраняют его.

Великий китайский файрвол распространяется на США

Это не просто теоретическая проблема - это произошло в реальном мире в больших масштабах. Один из способов работы Великого брандмауэра Китая - это блокировка на уровне DNS. Например, на заблокированном в Китае веб-сайте, таком как twitter.com, записи DNS могут указывать на неправильный адрес на DNS-серверах в Китае. Это приведет к тому, что Твиттер станет недоступным обычным способом. Думайте об этом как о том, что Китай намеренно отравляет кеши собственных DNS-серверов.

В 2010 году интернет-провайдер за пределами Китая по ошибке настроил свои DNS-серверы для получения информации с DNS-серверов в Китае. Он получил неверные записи DNS из Китая и кэшировал их на своих собственных DNS-серверах. Другие поставщики интернет-услуг получали информацию о DNS от этого интернет-провайдера и использовали ее на своих DNS-серверах. Отравленные записи DNS продолжали распространяться до тех пор, пока некоторым людям в США не был заблокирован доступ к Twitter, Facebook и YouTube их американских интернет-провайдеров. Великий брандмауэр Китая «просочился» за пределы его национальных границ, не позволив людям из других частей мира получить доступ к этим веб-сайтам. По сути, это действовало как крупномасштабная атака с отравлением DNS. (Источник.)

Решение

Настоящая причина, по которой отравление кеша DNS является такой проблемой, заключается в том, что нет реального способа определить, действительно ли ответы DNS, которые вы получаете, являются законными, или они были изменены.

Долгосрочным решением проблемы отравления кеша DNS является DNSSEC. DNSSEC позволит организациям подписывать свои DNS-записи с использованием криптографии с открытым ключом, гарантируя, что ваш компьютер будет знать, следует ли доверять DNS-записи или она была отравлена, и перенаправлять в неправильное место.

  • Подробнее: Как DNSSEC поможет обезопасить Интернет и как SOPA чуть не сделала его незаконным

Изображение предоставлено: Эндрю Кузнецов на Flickr, Джемимус на Flickr, НАСА