Отражението от DNS кеш, известно още като DNS spoofing, е вид атака, която използва уязвимости в системата за имена на домейни (DNS), за да отклони интернет трафика от легитимни сървъри и към фалшиви.
Едно от причините DNS отравянето е толкова опасно, защото може да се разпространи от DNS сървъра към DNS сървъра. През 2010 г. събитие от отравяне с DNS доведе до голямата защитна стена на Китай, която временно избяга от националните граници на Китай, цензурирайки интернет в САЩ, докато проблемът не бъде решен.
Винаги, когато компютърът ви се свърже с име на домейн като "google.com", трябва първо да се свърже с неговия DNS сървър. DNS сървърът отговаря с един или повече IP адреси, на които компютърът ви може да достигне до google.com. След това вашият компютър се свързва директно с този цифров IP адрес. DNS преобразува адресите, които могат да се четат от човек като "google.com", до компютърно четими IP адреси като "173.194.67.102".
Интернет няма само един DNS сървър, тъй като това би било изключително неефективно. Вашият доставчик на интернет услуги поддържа свои собствени DNS сървъри, които кешират информация от други DNS сървъри. Вашият домашен рутер функционира като DNS сървър, който кешира информация от DNS сървърите на вашия ISP. Вашият компютър има локален DNS кеш, за да може бързо да препраща към DNS търсенията, които вече е извършил, вместо да извършва DNS търсене отново и отново.
Кешът DNS може да се отрови, ако съдържа неправилно въвеждане. Например, ако атакуващият получи контрол над DNS сървър и промени част от информацията в него - например, биха могли да кажат, че google.com всъщност сочи към IP адреса, който атакуващият притежава - този DNS сървър ще каже на своите потребители да изглеждат за Google.com на грешен адрес. Адресът на атакуващия може да съдържа някакъв зловреден фишинг уебсайт
DNS отравяне като това може да се разпространи. Например, ако различни доставчици на интернет услуги получават своята DNS информация от компрометирания сървър, отразеният DNS запис ще се разпространи към доставчиците на интернет услуги и ще бъде кеширан там. След това той ще се разпространи в маршрутизаторите на дома и DNS кеш паметта на компютрите, докато потърсят DNS запис, получават грешен отговор и го съхраняват.
Това не е само теоретичен проблем - това се случва в реалния свят в голям мащаб. Един от начините, по които работи голямата защитна стена на Китай, е чрез блокиране на нивото DNS. Например, уебсайт, блокиран в Китай, като например twitter.com, може да има DNS записи, посочени в неправилен адрес на DNS сървърите в Китай. Това би довело до неприкосновеност на Twitter чрез нормални средства. Помислете за това, тъй като Китай умишлено отрови свой собствен кеш DNS сървър.
През 2010 г. доставчик на интернет услуги извън Китай погрешно конфигурира своите DNS сървъри, за да изтегли информация от DNS сървъри в Китай. Той извлича неверни записи в DNS от Китай и ги кешира на собствените си DNS сървъри. Други доставчици на интернет услуги са изтеглили DNS информация от доставчика на интернет услуги и са ги използвали на DNS сървърите си. Заразените DNS записи продължават да се разпространяват, докато някои хора в САЩ бъдат блокирани от достъп до Twitter, Facebook и YouTube на своите американски доставчици на интернет услуги. Голямата защитна стена на Китай "изтече" извън националните граници, като попречи на хората от други части на света да имат достъп до тези уебсайтове. Това по същество функционира като широкомащабно DNS отравяне. (Източник).
Истинската причина за отравяне с DNS кеш е такъв проблем е, защото няма реален начин да се определи дали отговорите на DNS, които получавате, са действително легитимни или дали са били манипулирани.
Дългосрочното решение за DNS кеш отравяне е DNSSEC. DNSSEC ще позволи на организациите да подписват своите DNS записи чрез криптография с публичен ключ, като гарантира, че вашият компютър ще знае дали DNS записът трябва да бъде надежден или дали е бил отровен и пренасочен към неправилно място.
Image Credit: Андрю Кузнецов на Flickr, Jemimus на Flickr, NASA
