Vad är DNS-cacheförgiftning?

DNS-cacheförgiftning, även känd som DNS-spoofing, är en typ av attack som utnyttjar sårbarheter i domännamnssystemet (DNS) för att avleda internettrafik från legitima servrar och mot falska.

En av anledningarna till att DNS-förgiftning är så farlig är att den kan spridas från DNS-server till DNS-server. Under 2010 ledde en DNS-förgiftning till att den stora brandväggen i Kina tillfälligt flydde från Kinas nationella gränser och censurerade Internet i USA tills problemet var löst.

Hur DNS fungerar

När din dator kontaktar ett domännamn som "google.com" måste den först kontakta sin DNS-server. DNS-servern svarar med en eller flera IP-adresser där din dator kan nå google.com. Din dator ansluts sedan direkt till den numeriska IP-adressen. DNS konverterar mänskliga läsbara adresser som “google.com” till datorläsbara IP-adresser som “173.194.67.102”.

  • Läs mer: HTG förklarar: Vad är DNS?

DNS-cachning

Internet har inte bara en enda DNS-server, eftersom det skulle vara extremt ineffektivt. Din internetleverantör kör sina egna DNS-servrar som cachar information från andra DNS-servrar. Din hemrouter fungerar som en DNS-server som cachar information från din ISP: s DNS-servrar. Din dator har en lokal DNS-cache, så den kan snabbt hänvisa till DNS-sökningar som den redan har utfört snarare än att utföra en DNS-sökning om och om igen.

DNS-cache-förgiftning

En DNS-cache kan bli förgiftad om den innehåller en felaktig post. Om en angripare till exempel får kontroll över en DNS-server och ändrar en del av informationen på den - till exempel kan de säga att google.com faktiskt pekar på en IP-adress som angriparen äger - att DNS-servern skulle berätta för sina användare att titta för Google.com på fel adress. Angriparens adress kan innehålla någon form av skadlig nätfiskewebbplats

DNS-förgiftning som denna kan också spridas. Till exempel, om olika internetleverantörer får sin DNS-information från den komprometterade servern, kommer den förgiftade DNS-posten att spridas till Internetleverantörerna och cachas där. Det kommer sedan att spridas till hemroutrar och DNS-cachar på datorer när de letar upp DNS-posten, får felaktigt svar och lagrar det.

Kinas stora brandvägg sprider sig till USA

Detta är inte bara ett teoretiskt problem - det har hänt i den verkliga världen i stor skala. Ett av sätten som Kinas stora brandvägg fungerar är genom blockering på DNS-nivå. Till exempel kan en webbplats blockerad i Kina, som twitter.com, ha sina DNS-poster pekade på en felaktig adress på DNS-servrar i Kina. Detta skulle resultera i att Twitter skulle vara oåtkomligt på vanliga sätt. Tänk på detta som Kina avsiktligt förgiftar sina egna DNS-servercacher.

Under 2010 konfigurerade en internetleverantör utanför Kina felaktigt sina DNS-servrar för att hämta information från DNS-servrar i Kina. Den hämtade felaktiga DNS-poster från Kina och cachade dem på sina egna DNS-servrar. Andra internetleverantörer hämtade DNS-information från den internetleverantören och använde den på sina DNS-servrar. De förgiftade DNS-posterna fortsatte att spridas tills vissa människor i USA blockerades från åtkomst till Twitter, Facebook och YouTube på sina amerikanska internetleverantörer. Kinas stora brandvägg hade "läckt ut" utanför sina nationella gränser och hindrat människor från andra håll i världen från att komma åt dessa webbplatser. Detta fungerade i huvudsak som en storskalig DNS-förgiftningsattack. (Källa.)

Lösningen

Den verkliga anledningen till att DNS-cacheförgiftning är ett sådant problem beror på att det inte finns något riktigt sätt att avgöra om DNS-svar du får är faktiskt legitima eller om de har manipulerats.

Den långsiktiga lösningen på DNS-cacheförgiftning är DNSSEC. DNSSEC tillåter organisationer att signera sina DNS-poster med kryptering med public key, vilket säkerställer att din dator vet om en DNS-post ska lita på eller om den har förgiftats och omdirigeras till en felaktig plats.

  • Läs mer: Hur DNSSEC hjälper till att säkra Internet och hur SOPA nästan gjorde det olagligt

Bildkredit: Andrew Kuznetsov på Flickr, Jemimus på Flickr, NASA