DNS Cache Poisoning คืออะไร?
การเป็นพิษของแคช DNS หรือที่เรียกว่าการปลอมแปลง DNS เป็นการโจมตีประเภทหนึ่งที่ใช้ช่องโหว่ในระบบชื่อโดเมน (DNS) เพื่อเบี่ยงเบนการรับส่งข้อมูลทางอินเทอร์เน็ตออกจากเซิร์ฟเวอร์ที่ถูกต้องและไปสู่การปลอมแปลง
สาเหตุหนึ่งที่ DNS เป็นพิษเป็นอันตรายมากเนื่องจากสามารถแพร่กระจายจากเซิร์ฟเวอร์ DNS ไปยังเซิร์ฟเวอร์ DNS ในปี 2010 เหตุการณ์ DNS เป็นพิษส่งผลให้ Great Firewall ของจีนหนีออกจากพรมแดนของประเทศจีนชั่วคราวโดยเซ็นเซอร์อินเทอร์เน็ตในสหรัฐอเมริกาจนกว่าปัญหาจะได้รับการแก้ไข
DNS ทำงานอย่างไร
เมื่อใดก็ตามที่คอมพิวเตอร์ของคุณติดต่อกับชื่อโดเมนเช่น“ google.com” คอมพิวเตอร์จะต้องติดต่อกับเซิร์ฟเวอร์ DNS ก่อน เซิร์ฟเวอร์ DNS ตอบสนองด้วยที่อยู่ IP อย่างน้อยหนึ่งรายการซึ่งคอมพิวเตอร์ของคุณสามารถเข้าถึง google.com ได้ จากนั้นคอมพิวเตอร์ของคุณจะเชื่อมต่อโดยตรงกับที่อยู่ IP ที่เป็นตัวเลขนั้น DNS จะแปลงที่อยู่ที่มนุษย์อ่านได้เช่น“ google.com” เป็นที่อยู่ IP ที่คอมพิวเตอร์อ่านได้เช่น“ 173.194.67.102”
- อ่านเพิ่มเติม: HTG อธิบาย: DNS คืออะไร?
การแคช DNS
อินเทอร์เน็ตไม่ได้มีเพียงเซิร์ฟเวอร์ DNS เดียวเนื่องจากจะไม่มีประสิทธิภาพอย่างมาก ผู้ให้บริการอินเทอร์เน็ตของคุณใช้เซิร์ฟเวอร์ DNS ของตนเองซึ่งแคชข้อมูลจากเซิร์ฟเวอร์ DNS อื่น ๆ เราเตอร์ที่บ้านของคุณทำหน้าที่เป็นเซิร์ฟเวอร์ DNS ซึ่งจะเก็บข้อมูลจากเซิร์ฟเวอร์ DNS ของ ISP ของคุณ คอมพิวเตอร์ของคุณมีแคช DNS ในเครื่องดังนั้นจึงสามารถอ้างถึงการค้นหา DNS ที่ดำเนินการไปแล้วได้อย่างรวดเร็วแทนที่จะทำการค้นหา DNS ซ้ำแล้วซ้ำเล่า
DNS Cache เป็นพิษ
แคช DNS อาจเป็นพิษได้หากมีรายการที่ไม่ถูกต้อง ตัวอย่างเช่นหากผู้โจมตีได้รับการควบคุมเซิร์ฟเวอร์ DNS และเปลี่ยนแปลงข้อมูลบางอย่างในเซิร์ฟเวอร์ตัวอย่างเช่นพวกเขาสามารถพูดได้ว่า google.com ชี้ไปที่ที่อยู่ IP ที่ผู้โจมตีเป็นเจ้าของเซิร์ฟเวอร์ DNS นั้นจะบอกให้ผู้ใช้ดู สำหรับ Google.com ที่อยู่ผิด ที่อยู่ของผู้โจมตีอาจมีเว็บไซต์ฟิชชิงที่เป็นอันตรายบางประเภท
DNS พิษเช่นนี้สามารถแพร่กระจายได้เช่นกัน ตัวอย่างเช่นหากผู้ให้บริการอินเทอร์เน็ตหลายรายได้รับข้อมูล DNS จากเซิร์ฟเวอร์ที่ถูกบุกรุกรายการ DNS ที่เป็นพิษจะแพร่กระจายไปยังผู้ให้บริการอินเทอร์เน็ตและถูกแคชไว้ที่นั่น จากนั้นจะแพร่กระจายไปยังเราเตอร์ในบ้านและแคช DNS บนคอมพิวเตอร์เมื่อค้นหารายการ DNS ได้รับการตอบสนองที่ไม่ถูกต้องและจัดเก็บไว้
ไฟร์วอลล์ที่ยิ่งใหญ่ของจีนแพร่กระจายไปยังสหรัฐอเมริกา
นี่ไม่ใช่แค่ปัญหาทางทฤษฎีเท่านั้น แต่มันเกิดขึ้นในโลกแห่งความเป็นจริงเป็นวงกว้าง วิธีหนึ่งในการทำงานของ Great Firewall ของจีนคือการบล็อกที่ระดับ DNS ตัวอย่างเช่นเว็บไซต์ที่ถูกบล็อกในจีนเช่น twitter.com อาจมีระเบียน DNS ชี้ไปที่ที่อยู่ที่ไม่ถูกต้องบนเซิร์ฟเวอร์ DNS ในประเทศจีน ซึ่งจะส่งผลให้ Twitter ไม่สามารถเข้าถึงได้ด้วยวิธีการปกติ คิดว่านี่เป็นประเทศจีนจงใจวางยาพิษเซิร์ฟเวอร์ DNS ของตัวเอง
ในปี 2010 ผู้ให้บริการอินเทอร์เน็ตนอกประเทศจีนกำหนดค่าเซิร์ฟเวอร์ DNS ของตนผิดพลาดเพื่อดึงข้อมูลจากเซิร์ฟเวอร์ DNS ในประเทศจีน มันดึงข้อมูล DNS ที่ไม่ถูกต้องจากประเทศจีนและแคชไว้บนเซิร์ฟเวอร์ DNS ของตัวเอง ผู้ให้บริการอินเทอร์เน็ตรายอื่นดึงข้อมูล DNS จากผู้ให้บริการอินเทอร์เน็ตรายนั้นและใช้บนเซิร์ฟเวอร์ DNS ของตน รายการ DNS ที่เป็นพิษยังคงแพร่กระจายอย่างต่อเนื่องจนกระทั่งบางคนในสหรัฐอเมริกาถูกบล็อกไม่ให้เข้าถึง Twitter, Facebook และ YouTube จากผู้ให้บริการอินเทอร์เน็ตของอเมริกา ไฟร์วอลล์ที่ยิ่งใหญ่ของจีนได้ "รั่วไหล" ออกนอกพรมแดนของประเทศทำให้ผู้คนจากที่อื่นในโลกไม่สามารถเข้าถึงเว็บไซต์เหล่านี้ได้ สิ่งนี้ทำหน้าที่เป็นหลักในการโจมตี DNS พิษขนาดใหญ่ (ที่มา)
การแก้ไขปัญหา
สาเหตุที่แท้จริงของการเป็นพิษของแคช DNS เป็นปัญหาเนื่องจากไม่มีวิธีที่แท้จริงในการพิจารณาว่าการตอบสนอง DNS ที่คุณได้รับนั้นถูกต้องตามกฎหมายจริงหรือไม่หรือถูกจัดการ
วิธีแก้ปัญหาระยะยาวในการเป็นพิษแคช DNS คือ DNSSEC DNSSEC จะอนุญาตให้องค์กรลงนามในระเบียน DNS ของตนโดยใช้การเข้ารหัสคีย์สาธารณะเพื่อให้แน่ใจว่าคอมพิวเตอร์ของคุณจะรู้ว่าควรเชื่อถือระเบียน DNS หรือไม่หรือถูกวางยาพิษและเปลี่ยนเส้นทางไปยังตำแหน่งที่ไม่ถูกต้อง
- อ่านเพิ่มเติม: DNSSEC จะช่วยรักษาความปลอดภัยอินเทอร์เน็ตได้อย่างไรและ SOPA เกือบจะทำให้มันผิดกฎหมายได้อย่างไร
เครดิตรูปภาพ: Andrew Kuznetsov บน Flickr, Jemimus บน Flickr, NASA