Trovanja DNS predmemorije, također poznata kao DNS spoofing, vrsta napada je koja napada sigurnosne propuste u sustavu naziva domene (DNS) da preusmjeravaju internetski promet od legitimnih poslužitelja i lažnih.
Jedan od razloga trovanja DNS-om je toliko opasno jer se može širiti od DNS poslužitelja do DNS poslužitelja. Godine 2010. događaj DNS trovanja rezultirao je Velikim firewallom Kine koji privremeno izbjegava nacionalne granice Kine, cenzuriranjem Interneta u SAD-u sve dok se problem ne riješi.
Kad god vaše računalo kontaktira naziv domene poput "google.com", prvo mora kontaktirati svoj DNS poslužitelj. DNS server odgovara jednom ili više IP adresa na kojima računalo može doći do google.com. Vaše računalo se zatim izravno povezuje s tom numeričkom IP adresom. DNS pretvara ljudske čitljive adrese poput "google.com" na IP adrese koje se mogu čitati poput "173.194.67.102".
Internet ne posjeduje samo jedan DNS poslužitelj, jer bi to bilo vrlo neučinkovito. Vaš davatelj internetskih usluga pokreće vlastite DNS poslužitelje koji pohranjuju podatke iz drugih DNS poslužitelja. Vaš kućni usmjerivač funkcionira kao DNS poslužitelj, koji čuva podatke s ISP-ovih DNS poslužitelja. Vaše računalo ima lokalnu DNS predmemoriju, tako da se brzo može upućivati na DNS lookupove koje je već izvršio, a ne vršeći DNS traženje iznova i iznova.
DNS predmemorija može postati otrovan ako sadrži pogrešan unos. Na primjer, ako napadač dobije kontrolu nad DNS poslužiteljem i mijenja neke informacije na njemu - na primjer, mogli bi reći da google.com zapravo ukazuje na IP adresu koju napadač posjeduje - da će DNS poslužitelj reći svojim korisnicima da izgledaju za Google.com na pogrešnoj adresi. Adresa napadača može sadržavati neku vrstu zlonamjernog web mjesta za krađu identiteta
Tako se i DNS trovanje može širiti. Na primjer, ako razni davatelji internetskih usluga dobivaju svoje DNS podatke od ugroženog poslužitelja, otrovani unos DNS-a širiti će se na pružatelje internetskih usluga i biti pohranjeni u ondje. Zatim će se proširiti na kućne usmjerivače i DNS spremišta na računalima dok pretražuju DNS unos, primaju netočan odgovor i pohranjuju.
Ovo nije samo teoretski problem - to se dogodilo u stvarnom svijetu na velikom mjerilu. Jedan od načina na koji Kina radi veliki firewall je blokiranje na razini DNS-a. Na primjer, web lokacija blokirana u Kini, kao što je twitter.com, može imati svoje DNS zapise ukazati na pogrešnu adresu na DNS poslužiteljima u Kini. To bi rezultiralo Twitterom nedostupnim uobičajenim sredstvima. Razmislite o tome kao što je Kina namjerno trovanja vlastitih DNS poslužitelja.
Tijekom 2010., davatelj internetskih usluga izvan Kine pogrešno je konfigurirala svoje DNS poslužitelje za dohvaćanje informacija s DNS poslužitelja u Kini. Preuzeli su netočne DNS zapise iz Kine i spremili ih na svoje DNS poslužitelje. Drugi davatelji internetskih usluga dohvatili su DNS informacije od tog pružatelja internetskih usluga i koristili ih na svojim DNS poslužiteljima. Otrovani unosi DNS-a nastavili su se proširivati sve dok se neki ljudi u SAD-u ne blokiraju na pristupanje Twitteru, Facebooku i YouTubeu na svojim američkim pružateljima internetskih usluga. Veliki vatromet u Kini "procurio je" izvan svojih nacionalnih granica, sprečavajući ljude iz drugih krajeva svijeta da pristupaju ovim web stranicama. To je u osnovi funkcioniralo kao veliki napad DNA trovanja. (Izvor.)
Pravi razlog trovanja DNS cache-om je takav problem jer nema pravih načina određivanja da li DNS odgovori koje dobivate su zapravo legitimni ili su manipulirani.
Dugoročno rješenje za trovanje DNS cache-om je DNSSEC. DNSSEC će omogućiti organizacijama da potpišu svoje DNS zapise pomoću kriptografije s javnim ključem, osiguravajući da vaše računalo zna hoće li DNS zapis biti pouzdana ili je li otrovan i preusmjerava na pogrešnu lokaciju.
Image Credit: Andrew Kuznetsov na Flickr, Jemimus na Flickr, NASA
