En av grunnene til at DNS-forgiftning er så farlig, er fordi den kan spres fra DNS-server til DNS-server. I 2010 resulterte en DNS-forgiftningshendelse i Great Firewall i Kina midlertidig å rømme Kinas nasjonale grenser, censurere Internett i USA til problemet ble løst.
Hvordan fungerer DNS
Når datamaskinen kontakter et domenenavn som "google.com," må den først kontakte sin DNS-server. DNS-serveren svarer med en eller flere IP-adresser hvor datamaskinen din kan nå google.com. Datamaskinen kobler da direkte til den numeriske IP-adressen. DNS konverterer menneskelige lesbare adresser som "google.com" til datamaskinlesbare IP-adresser som "173.194.67.102".
Les mer: HTG Forklarer: Hva er DNS?
DNS Caching
Internett har ikke bare en enkelt DNS-server, da det ville være ekstremt ineffektivt. Din Internett-leverandør kjører sine egne DNS-servere, som cache informasjon fra andre DNS-servere. Hjemmestyreren fungerer som en DNS-server, som caches informasjon fra Internett-leverandørens DNS-servere. Datamaskinen din har en lokal DNS-buffer, slik at den raskt kan referere til DNS-oppslag, det er allerede utført, i stedet for å utføre et DNS-oppslag igjen og igjen.
DNS Cache-forgiftning
En DNS-cache kan bli forgiftet hvis den inneholder en feil oppføring. Hvis en angriper for eksempel får kontroll over en DNS-server og endrer noe av informasjonen på det - for eksempel kan de si at google.com faktisk peker på en IP-adresse angriperen eier - at DNS-serveren vil fortelle at brukerne skal se for Google.com på feil adresse. Angriperens adresse kan inneholde en slags skadelig phishing-nettside
DNS-forgiftning som dette kan også spre seg. For eksempel, hvis ulike Internett-tjenesteleverandører får sin DNS-informasjon fra den kompromitterte serveren, vil den forgiftede DNS-oppføringen spre seg til Internett-tjenesteleverandørene og bli cached der. Det vil da spres til hjemme rutere og DNS-caches på datamaskiner når de ser opp DNS-oppføringen, mottar feil svar, og lagrer det.
Den store brannmuren i Kina sprer seg til USA
Dette er ikke bare et teoretisk problem - det har skjedd i den virkelige verden i stor skala. En av måtene Kinas Great Firewall fungerer, er å blokkere på DNS-nivå. For eksempel kan et nettsted blokkert i Kina, som twitter.com, ha sine DNS-poster pekte på en feil adresse på DNS-servere i Kina. Dette vil resultere i at Twitter er utilgjengelig på vanlig måte. Tenk på dette da Kina forsettlig forgifter sine egne DNS-server caches.
I 2010 konfigurerte en Internett-leverandør utenfor Kina feilaktig DNS-serverne for å hente informasjon fra DNS-servere i Kina. Den hentet feil DNS-poster fra Kina og lagret dem på egne DNS-servere. Andre Internett-tjenesteleverandører hentet DNS-informasjon fra Internett-leverandøren og brukte den på deres DNS-servere. De forgiftede DNS-postene fortsatte å spre seg til noen personer i USA ble blokkert fra å få tilgang til Twitter, Facebook og YouTube på deres amerikanske Internett-tjenesteleverandører. Den store brannmuren i Kina hadde "lekket" utenfor sine nasjonale grenser, slik at folk fra andre steder i verden ikke kunne få tilgang til disse nettstedene. Dette fungerte i hovedsak som et stort DNA-forgiftningsangrep. (Kilde.)
Løsningen
Den virkelige grunnen til at DNS-cache-forgiftning er et slikt problem er fordi det ikke er noen reell måte å avgjøre om DNS-svar du mottar, faktisk er legitime, eller om de har blitt manipulert.
Den langsiktige løsningen på DNS-cache-forgiftning er DNSSEC. DNSSEC vil tillate organisasjoner å signere sine DNS-poster ved hjelp av public key-kryptering, slik at datamaskinen din vet om en DNS-post skal stole på, eller om den har blitt forgiftet og omdirigert til en feil plassering.
