Jedným z dôvodov, že otravy DNS sú také nebezpečné, je to, že sa môžu šíriť z DNS servera na server DNS. V roku 2010 udalosť otrava DNS viedla k tomu, že Great Firewall v Číne dočasne unikol hraniciam Číny a cenzuroval internet v USA až do vyriešenia problému.
Ako funguje DNS
Kedykoľvek váš počítač kontaktuje názov domény ako "google.com", musí najprv kontaktovať svoj server DNS. DNS server reaguje s jednou alebo viacerými adresami IP, na ktorých môže počítač dosiahnuť adresu google.com. Váš počítač sa potom pripojí priamo k tejto číselnej IP adrese. Služba DNS konvertuje adresy, ktoré sú čitateľné pre človeka, ako "google.com" na adresy IP čitateľné počítačom, napríklad "173.194.67.102".
Čítajte viac: HTG vysvetľuje: Čo je DNS?
DNS caching
Internet nemá len jeden DNS server, pretože by to bolo veľmi neefektívne. Poskytovateľ internetových služieb prevádzkuje vlastné servery DNS, ktoré ukladajú do vyrovnávacej pamäte informácie z iných serverov DNS. Váš domáci smerovač funguje ako server DNS, ktorý ukladá informácie z DNS serverov vášho ISP. Váš počítač má lokálnu vyrovnávaciu pamäť DNS, takže môže rýchlo vyhľadávať vyhľadávania DNS, ktoré už vykonala, a nie opakovať vyhľadávanie DNS.
DNS Cache otravy
Cache DNS sa môže otráviť, ak obsahuje nesprávny záznam. Napríklad, ak útočník dostane kontrolu nad serverom DNS a zmení niektoré informácie na ňom - napríklad by mohol povedať, že google.com skutočne poukazuje na adresu IP, ktorú má útočník vlastný - ten server DNS by svojim používateľom povedal, aby sa pozreli pre stránku Google.com na nesprávnej adrese. Adresu útočníka môže obsahovať nejaký škodlivý phishingový web
Takéto otravy DNS sa môžu rozšíriť. Napríklad, ak rôzni poskytovatelia internetových služieb dostanú svoje informácie DNS z ohrozeného servera, otrávená položka DNS sa rozšíri na poskytovateľov internetových služieb a tam bude uložená do vyrovnávacej pamäte. Potom sa rozšíri na domáce smerovače a vyrovnávacie pamäte DNS v počítačoch pri vyhľadávaní položky DNS, pri prijatí nesprávnej odpovede a uložení.
Veľký firewall Číny sa šíri do USA
Nie je to len teoretický problém - vo veľkom meradle sa to stalo v reálnom svete. Jedným zo spôsobov, ako funguje Čínska brána firewall, je blokovanie na úrovni DNS. Napríklad webové stránky zablokované v Číne, ako napríklad twitter.com, môžu mať záznamy DNS poukazované na nesprávnu adresu na serveroch DNS v Číne. To by viedlo k tomu, že služba Twitter nebude dostupná normálnymi prostriedkami. Premýšľajte o tom, ako Čína úmyselne otrávila svoje vlastné vyrovnávacie pamäte servera DNS.
V roku 2010 poskytovateľ internetových služieb mimo Číny nesprávne nakonfiguroval svoje servery DNS s cieľom získať informácie zo serverov DNS v Číne. Vybral nesprávne záznamy DNS z Číny a uložil ich do svojich serverov DNS. Ostatní poskytovatelia internetových služieb načítavali informácie DNS od poskytovateľa internetových služieb a používali ich na svojich serveroch DNS. Zneužívané položky DNS sa naďalej šírili, kým niektorým ľuďom v USA nebol prístup k Twitteru, Facebooku a YouTube u amerických poskytovateľov internetových služieb. Veľký firewall Číny "unikol" mimo svojich hraníc a zabránil tak prístupu na tieto webové stránky ľuďom z iných častí sveta. Toto v podstate fungovalo ako veľký útok DNS otravy. (Zdroj).
Riešenie
Skutočným dôvodom otravy vyrovnávacej pamäte DNS je taký problém, pretože neexistuje reálny spôsob, ako určiť, či sú odpovede DNS, ktoré získate, skutočne legitímne alebo či boli manipulované.
Dlhodobým riešením otravy DNS cache je DNSSEC. Služba DNSSEC umožní organizáciám podpísať svoje záznamy DNS pomocou kryptografie s verejným kľúčom a zaistiť, že váš počítač bude vedieť, či má byť DNS záznam dôveryhodný alebo či bol otrávený a presmerovaný na nesprávne miesto.
