Üks põhjusi, miks DNS mürgistus on nii ohtlik, on see, et see võib levida DNS-serverist DNS-serverisse. 2010. aastal põhjustas DNS-i mürgistusjuhtum Hiina suureks tulemüüriks Hiina Rahvavabariigist ajutiselt põgenedes, USA-s Internetti tsenseerides kuni probleemi lahendamiseni.
Kuidas DNS toimib?
Kui teie arvuti kontakteerub domeeninimega "google.com", tuleb see kõigepealt ühendust võtta selle DNS-serveriga. DNS-server vastab ühele või mitmele IP-aadressile, kus teie arvuti võib jõuda google.com-i. Seejärel ühendab teie arvuti otse selle numbrilise IP-aadressiga. DNS muudab inimesele loetavad aadressid, näiteks "google.com", arvutis loetavateks IP-aadressideks nagu "173.194.67.102".
Loe lähemalt: HTG selgitab: mis on DNS?
DNS vahemällu salvestamine
Internetil pole ainult üht DNS-serverit, kuna see oleks äärmiselt ebaefektiivne. Teie Interneti-teenuse pakkuja käitab oma DNS-servereid, mis muudavad teiste DNS-serverite andmeid vahemällu. Teie kodune ruuter toimib DNS-serverina, mis salvestab teie ISP DNS-serverite andmed. Teie arvutis on kohalik DNS-vahemälu, nii et see võib kiiresti viidata DNS otsingutele, mida see juba on tehtud, selle asemel, et DNS-i otsingut uuesti ja uuesti teha.
DNS-i vahtmürgitus
DNS-vahemälu võib mürgitada, kui see sisaldab vale kirje. Näiteks kui ründaja saab DNS-serveri kontrolli ja muudab mõnda selles sisalduvat teavet - näiteks võivad nad öelda, et google.com viitab tegelikult ründaja omanduses olevale IP-aadressile - see DNS-server paneks oma kasutajatele otsima Google.com-i valele aadressile. Ründaja aadress võib sisaldada mingisugust pahatahtlikku andmepüügi veebisaiti
Selline DNS-mürgistus võib levida ka. Näiteks, kui mitmed Interneti-teenuse pakkujad saavad oma DNS-i teavet ohustatud serverist, levib mürgitatud DNS-i kanne internetiteenuse pakkujatele ja seal peidetud vahemällu. Seejärel levib see kodukursusse ja DNS-i vahemällu arvutisse, kui nad otsivad DNS-kirjeid, saavad vale vastuse ja salvestavad selle.
Suur Hiina tulemüür levib Ameerika Ühendriikidesse
See ei ole ainult teoreetiline probleem - see juhtus reaalmaailmas suures ulatuses. Üks Hiina suurt tulemüüri toimimisviisidest on DNS tasemel blokeerimine. Näiteks Hiinas blokeeritud veebisaidil, näiteks twitter.com, võib DNS-kirjetel olla Hiinas DNS-serverites vale aadress. See toob kaasa selle, et vidistama jääb tavaliste vahendite abil kättesaamatuks. Mõelge sellele, et Hiina tahtlikult mürgitab oma DNS-serveri vahemällu.
2010. aastal tegi Interneti-teenusepakkuja väljaspool Hiinat oma DNS-servereid valesti DNS-serverite teabe hankimiseks Hiinas. See tõmbas Hiinist vale DNS-i kirjeid ja vahemällu oma DNS-serverites. Teised Interneti-teenuse pakkujad said Interneti-teenuse pakkujalt DNS-i teavet ja kasutasid seda oma DNS-serverites. Mürgised DNS-kirjete jätkuvalt levitasid, kuni mõni USA-s keelas oma Ameerika Interneti-teenuse pakkujatele juurdepääsu Twitterile, Facebookile ja YouTube'ile. Hiina suur tulekindel oli lekinud väljaspool oma riigipiire, muutes inimestele mujalt maailmast juurdepääsu nendele veebisaitidele. See põhiosas oli suuremahuline DNS-mürgistusrünnak. (Allikas.)
Lahendus
Tõeline põhjus, miks DNS-i vahemälu on murettekitav, on selline probleem, sest ei ole tõelist võimalust tuvastada, kas teie poolt saadetavad DNS-vastused on tegelikult õigustatud või kas neid on manipuleeritud.
Pikaajaline lahendus DNS-i vahemälu mürgitamiseks on DNSSEC. DNSSEC võimaldab organisatsioonidel oma avaliku võtmega krüptograafia abil oma DNS-kirju alla kirjutada, tagades, et teie arvuti teab, kas DNS-kirje peaks olema usaldusväärne või kas see on mürgitatud ja suunab valele asukohale.
