Hvad er DNS-cache-forgiftning?

DNS-cache-forgiftning, også kendt som DNS-spoofing, er en type angreb, der udnytter sårbarheder i domænenavnsystemet (DNS) til at omdirigere internettrafik væk fra legitime servere og mod falske.

En af grundene til, at DNS-forgiftning er så farlig, er fordi den kan spredes fra DNS-server til DNS-server. I 2010 resulterede en begivenhed med DNS-forgiftning i, at den store firewall i Kina midlertidigt undslap Kinas nationale grænser og censurerede Internettet i USA, indtil problemet var løst.

Sådan fungerer DNS

Når din computer kontakter et domænenavn som "google.com", skal den først kontakte sin DNS-server. DNS-serveren reagerer med en eller flere IP-adresser, hvor din computer kan nå google.com. Din computer opretter derefter forbindelse direkte til den numeriske IP-adresse. DNS konverterer menneskelæsbare adresser som “google.com” til computerlæsbare IP-adresser som “173.194.67.102”.

  • Læs mere: HTG forklarer: Hvad er DNS?

DNS-cache

Internettet har ikke kun en enkelt DNS-server, da det ville være ekstremt ineffektivt. Din internetudbyder kører sine egne DNS-servere, som cache-oplysninger fra andre DNS-servere. Din hjemme-router fungerer som en DNS-server, der cachelagrer oplysninger fra din internetudbyders DNS-servere. Din computer har en lokal DNS-cache, så den kan hurtigt henvise til DNS-opslag, den allerede er udført i stedet for at udføre et DNS-opslag igen og igen.

DNS-cache-forgiftning

En DNS-cache kan blive forgiftet, hvis den indeholder en forkert indtastning. For eksempel, hvis en hacker får kontrol over en DNS-server og ændrer nogle af oplysningerne på den - for eksempel kunne de sige, at google.com faktisk peger på en IP-adresse, som angriberen ejer - at DNS-serveren ville bede sine brugere om at se til Google.com på den forkerte adresse. Angriberens adresse kan indeholde en slags skadelig phishing-webside

DNS-forgiftning som denne kan også sprede sig. For eksempel, hvis forskellige internetudbydere får deres DNS-oplysninger fra den kompromitterede server, spredes den forgiftede DNS-post til internetudbydere og caches der. Det spredes derefter til hjemmereuter og DNS-cacher på computere, når de ser op på DNS-posten, modtager det forkerte svar og gemmer det.

Den store firewall i Kina spreder sig til USA

Dette er ikke kun et teoretisk problem - det er sket i den virkelige verden i stor skala. En af måderne, som Kinas store firewall fungerer på, er gennem blokering på DNS-niveau. For eksempel kan et websted, der er blokeret i Kina, såsom twitter.com, have sine DNS-poster peget på en forkert adresse på DNS-servere i Kina. Dette ville resultere i, at Twitter var utilgængelig på normale måder. Tænk på dette, da Kina forsætligt forgiftede sine egne DNS-servercacher.

I 2010 konfigurerede en internetudbyder uden for Kina fejlagtigt sine DNS-servere til at hente oplysninger fra DNS-servere i Kina. Den hentede de forkerte DNS-poster fra Kina og cachede dem på sine egne DNS-servere. Andre internetudbydere hentede DNS-oplysninger fra denne internetudbyder og brugte dem på deres DNS-servere. De forgiftede DNS-poster spredte sig fortsat, indtil nogle mennesker i USA blev blokeret for at få adgang til Twitter, Facebook og YouTube på deres amerikanske internetudbydere. Kinas store firewall var "lækket" uden for dets nationale grænser og forhindrede folk fra andre steder i verden i at få adgang til disse websteder. Dette fungerede i det væsentlige som et omfattende DNS-forgiftningsangreb. (Kilde.)

Løsningen

Den virkelige årsag til, at DNS-cache-forgiftning er et sådant problem, er, fordi der ikke er nogen reel måde at afgøre, om DNS-svar, du modtager, faktisk er legitime, eller om de er blevet manipuleret.

Den langsigtede løsning på DNS-cache-forgiftning er DNSSEC. DNSSEC giver organisationer mulighed for at underskrive deres DNS-poster ved hjælp af kryptografi med offentlig nøgle, hvilket sikrer, at din computer ved, om en DNS-post skal have tillid til, eller om den er blevet forgiftet og omdirigerer til en forkert placering.

  • Læs mere: Hvordan DNSSEC hjælper med at sikre Internettet, og hvordan SOPA næsten gjorde det ulovligt

Billedkredit: Andrew Kuznetsov på Flickr, Jemimus på Flickr, NASA