Одна из причин, по которой DNS-отравление настолько опасна, заключается в том, что она может распространяться с DNS-сервера на DNS-сервер. В 2010 году событие DNS-отравления привело к тому, что Великий брандмауэр Китая временно избежал национальных границ Китая, подвергая цензуре Интернет в США, пока проблема не была устранена.
Как работает DNS
Всякий раз, когда ваш компьютер связывается с таким доменным именем, как «google.com», он должен сначала связаться с его DNS-сервером. DNS-сервер отвечает одним или несколькими IP-адресами, где ваш компьютер может попасть на google.com. Затем ваш компьютер подключается непосредственно к этому цифровому IP-адресу. DNS преобразует удобочитаемые адреса, такие как «google.com», на машиночитаемые IP-адреса, такие как «173.194.67.102».
Подробнее: HTG объясняет: что такое DNS?
Кэширование DNS
Интернет не просто имеет один DNS-сервер, так как это будет крайне неэффективно. Ваш интернет-провайдер запускает собственные DNS-серверы, которые кэшируют информацию с других DNS-серверов. Домашний маршрутизатор функционирует как DNS-сервер, который кэширует информацию с DNS-серверов вашего интернет-провайдера. У вашего компьютера есть локальный DNS-кеш, поэтому он может быстро ссылаться на поисковые запросы DNS, которые он уже выполнял, а не выполнять поиск DNS снова и снова.
Отравление кэша DNS
Кэш DNS может стать отравленным, если он содержит неправильную запись. Например, если злоумышленник получает контроль над DNS-сервером и изменяет часть информации на нем - например, они могут сказать, что google.com фактически указывает на IP-адрес, которым владеет злоумышленник, - этот DNS-сервер будет предлагать своим пользователям смотреть для Google.com с неправильным адресом. Адрес злоумышленника может содержать какой-то злонамеренный фишинг-сайт
Подобное DNS-отравление также может распространяться. Например, если различные поставщики интернет-услуг получают свою DNS-информацию с взломанного сервера, отравленная запись DNS будет распространяться среди поставщиков интернет-услуг и кэшироваться там. Затем он будет распространяться на домашние маршрутизаторы и DNS-кэши на компьютерах, когда они будут искать запись DNS, получать неправильный ответ и хранить его.
Великий межсетевой экран Китая распространяется в США
Это не просто теоретическая проблема - это произошло в реальном мире в больших масштабах. Одним из способов работы Great Firewall в Китае является блокировка на уровне DNS. Например, сайт, заблокированный в Китае, например twitter.com, может иметь DNS-записи, указывающие на неправильный адрес на DNS-серверах в Китае. Это приведет к тому, что Twitter станет недоступным с помощью обычных средств. Подумайте об этом, поскольку Китай намеренно отравляет свои собственные кеши DNS-сервера.
В 2010 году поставщик интернет-услуг за пределами Китая ошибочно настроил свои DNS-серверы для извлечения информации с DNS-серверов в Китае. Он извлекал неправильные записи DNS из Китая и кэшировал их на своих собственных DNS-серверах. Другие поставщики интернет-услуг получали данные DNS от этого поставщика услуг Интернета и использовали их на своих DNS-серверах. Отравленные записи DNS продолжали распространяться, пока некоторые люди в США не были заблокированы от доступа к Twitter, Facebook и YouTube на своих американских интернет-провайдерах. Великий брандмауэр Китая «просочился» за пределы своих национальных границ, не позволяя людям из других стран получать доступ к этим веб-сайтам. Это по существу функционировало как широкомасштабная атака отравления DNS. (Источник.)
Решение
Настоящая причина, по которой отражается DNS-кеш, является такой проблемой, потому что нет реального способа определить, являются ли ответы DNS, которые вы получаете, на самом деле легитимными или с ними манипулировали.
Долгосрочным решением для отравления кеша DNS является DNSSEC. DNSSEC позволит организациям подписывать свои DNS-записи с использованием криптографии с открытым ключом, гарантируя, что ваш компьютер будет знать, следует ли доверять DNS-записи или отравлять ее и перенаправлять в неправильное местоположение.
