DNS-kapning

Den aktuella versionen av sidan har ännu inte granskats av erfarna bidragsgivare och kan skilja sig väsentligt från versionen som granskades den 11 december 2019; kontroller kräver 3 redigeringar .

DNS-kapning – undergräver lösningen av DNS- frågor. Detta kan uppnås genom att använda skadlig programvara som åsidosätter datorns TCP/IP- konfiguration så att frågor skickas till en angripares DNS-server eller genom att ändra beteendet hos en betrodd DNS-server så att den inte överensstämmer med Internetstandarder. Dessa ändringar kan göras i skadliga syften, såsom nätfiske, eller i själviska syften av Internet Service Providers ( ISP ) som dirigerar användarens webbtrafik till sina egna webbservrar för att visa annonser, samla in statistik eller andra syften för leverantören; och DNS-tjänsteleverantörer för att blockera åtkomst till utvalda domäner som en form av censur.

Teknisk utvikning

En av funktionerna hos en DNS-server är att översätta domännamn till IP-adresser , som krävs för att ansluta till en Internetresurs, till exempel en webbplats . Denna funktion är definierad i olika officiella internetstandarder, som definierar protokollet tillräckligt detaljerat. Datorer som vetter mot Internet litar på att DNS-servrar korrekt löser namn till faktiska adresser som registrerats av Internetdomänägare.

Rogue DNS-servrar

En oseriös DNS-server översätter domännamnen på efterfrågade webbplatser ( sökmotorer , banker, etc.) till IP-adresser för webbplatser med oförutsägbart innehåll, till och med skadliga webbplatser. För de flesta användare tilldelas DNS-servrar automatiskt av deras ISP:er. Zombiedatorer lanserar trojaner som tyst ändrar adressen till en automatiskt tilldelad DNS-server av en ISP till en oseriös DNS-server. När användare försöker besöka webbplatser hamnar de på en falsk sida. En sådan attack kallas jordbruk . Om en skadlig webbplats som förfrågningar omdirigeras till, som maskerar sig som en legitim webbplats, försöker få tillgång till konfidentiell information på ett bedrägligt sätt, kallas detta nätfiske .

Leverantörsmanipulation

Vissa leverantörer som OpenDNS , Cablevision's Optimum Online, Comcast , Time Warner, Cox Communications, RCN, Rogers, Charter Communications, Verizon, Virgin Media , Frontier Communications, Bell Sympatico, UPC, T-Online , Optus, Mediacom, ONO, TalkTalk och Bigpond ( Telstra ) använder DNS-omdirigering för sina egna syften, som att visa annonser eller samla in statistik. Detta bryter mot RFC-standarderna för DNS-svar (NXDOMAIN) och kan utsätta användare för skript på flera platser . DNS-omdirigering innebär att NXDOMAIN-svaret ändras. Internet- och intranätapplikationer förlitar sig på NXDOMAIN-svaret för att beskriva tillståndet när DNS inte har en post för den angivna värden. Om vi begärde ett icke-existerande domännamn (fakeexample.com), bör vi få ett NXDOMAIN-svar som informerar applikationen om att namnet är ogiltigt och orsakar lämplig åtgärd (till exempel visa ett fel eller vägra ansluta till servern). Så om ett domännamn efterfrågas på någon av dessa obefintliga leverantörer kan du få en falsk IP-adress som tillhör leverantören. I en webbläsare kan detta beteende vara irriterande eller stötande när anslutningar till denna IP-adress visar leverantörens omdirigeringssida, ibland med annonser, istället för det korrekta felmeddelandet. Men andra applikationer som förlitar sig på NXDOMAIN-felet kommer istället att försöka initiera en anslutning till denna förfalskade IP-adress, vilket potentiellt exponerar känslig information.

Exempel på funktionalitet som saknas om internetleverantörer omdirigerar DNS:

Ledade bärbara datorer som är medlemmar i en Windows Server-domän antar felaktigt att de har återvänt till företagets nätverk eftersom resurser som domänkontrollanter, e -postservrar och annan infrastruktur blir tillgängliga. Applikationer försöker initiera anslutningar till dessa företagsservrar men misslyckas, vilket resulterar i prestandaförsämring, onödig internettrafik och timeout.
Många små kontor och de flesta hemnätverk har ingen egen DNS-server, utan förlitar sig istället på sändningsnamnupplösning. Eftersom DNS-förfrågningar har företräde framför lokala sändningar kommer alla namn felaktigt att lösas till ISP-ägda servrar och det lokala nätverket kommer inte att fungera.
Webbläsare som Firefox kommer inte att kunna göra "sökning på namn" (när nyckelord som skrivs i adressfältet omdirigerar dig till närmaste webbplats som hittas).
Den lokala DNS-klienten som är inbyggd i moderna operativsystem cachelagrar DNS-uppslagningsresultat för att förbättra prestandan. Om klienten växlar mellan hemnätverket och VPN , kan falska poster förbli cachade, vilket skapar avbrott i VPN-anslutningens tjänst.
DNSBL : s antispamlösningar är baserade på DNS; därför förhindrar falska DNS-resultat att DNSBL fungerar korrekt.
En användares känsliga data kan avslöjas av en applikation som vilseleds av Internetleverantören till att tro att tjänsten den försöker ansluta till är tillgänglig.
Sökmotorn kommer inte att kunna korrigera felskrivna webbadresser baserat på användarens tidigare val, eftersom leverantören bestämmer vilka sökresultat som ska visas för användaren; applikationer som Google Verktygsfält kommer inte att kunna fungera korrekt.
Datorer som är konfigurerade för att använda delad tunnling med en VPN-anslutning kommer att sluta fungera eftersom intranätnamn som inte bör lösas utanför tunneln på det offentliga Internet kommer att lösas till falska adresser istället för att lösas korrekt genom VPN-tunneln på den privata DNS.-servern vid hämtning av en NXDOMAIN-post från Internet. Till exempel kan en e-postklient som försöker lösa en DNS-post av typ A för en intern e-postserver få ett falskt DNS-svar som omdirigerar till en betald webbserver med en leveranskö om återöverföringen misslyckades.
Detta bryter WPAP (Proxy Automatic Configuration Protocol) genom att få webbläsare att av misstag tro att ISP har en proxykonfiguration.
Detta stör kontrollmjukvaran. Till exempel, om vi regelbundet kommer åt servern för hälsokontroller, kommer monitorn inte att märka förfalskningen förrän den försöker verifiera serverns kryptonyckel.

I vissa fall tillhandahåller leverantörer abonnentkonfigurerbara inställningar för att förhindra modifiering av NXDOMAIN-svar. Rätt implementerade återställer sådana inställningar DNS till standardbeteende. Andra leverantörer använder istället webbläsarcookies för att lagra inställningar. I det här fallet kommer problemet med korrekt beteende inte att lösas: DNS-förfrågningar kommer att fortsätta att omdirigeras och leverantörens omdirigeringssida kommer att ersättas med falska DNS-felmeddelanden. Andra applikationer än webbläsare kan inte uteslutas från schemat för användning av cookies, schemat är faktiskt implementerat på ett protokollneutralt DNS-system.

Inspelningsmanipulationer

Vissa domännamnsregistratorer , särskilt Name.com, utför DNS-omdirigeringar på misslyckade domännamnssökningar trots invändningar mot detta från ICANN och deras konsumenter.

Lösning

I Storbritannien har kommissionens informationskontor funnit att praxis med icke-frivillig DNS-omdirigering strider mot PECR och EG-direktivet 95/46 om dataskydd, som kräver uttryckligt samtycke för att bearbeta kommunikationstrafik. Han vägrade dock att ingripa och hävdade att det inte skulle vara klokt att anta lagen eftersom det inte skulle orsaka betydande (eller någon) uppenbar skada för individer. ICANN , den internationella organisationen som ansvarar för hantering av toppdomännamn, har utfärdat ett memorandum som lyfter fram sin oro och bekräftar: "ICANN avråder starkt från användningen av DNS-omdirigering, jokertecken, svarssyntes och andra former av NXDOMAIN-ersättning i befintliga gTLDs , ccTLDs , och på vilken annan nivå som helst i DNS-trädet för domännamnsklassregistreringen".