DNS- spoofing , även känd som DNS-cacheförgiftning , är en form av datanätverkshackning där domännamnets cachedata ändras av en angripare för att returnera en falsk IP-adress . Detta resulterar i en man-i- mitt-attack på angriparens dator (eller någon annan dator).
DNS-servrar mappar mänskligt läsbara domännamn (som example.com) till en IP-adress som används för att dirigera meddelanden mellan . Vanligtvis, om servern inte känner till den givna IP-adressen, gör den en begäran till en annan server och processen fortsätter rekursivt . För att öka prestandan sparar (cachar) servern vanligtvis värdena för IP-adressen och domännamnet under en viss tid. Det betyder att om den får en annan begäran om samma överföring kommer den att kunna svara utan att behöva fråga andra servrar innan cachen går ut.
När en DNS-server tar emot en falsk IP-adress och cachar den för att optimera prestanda, anses värdet vara förgiftat och servern skickar falsk information till klienter. Om en DNS-server är förgiftad kan den returnera en ogiltig IP-adress, vilket leder trafik till en annan dator (ofta en angripare). [ett]
Vanligtvis använder en nätverksdator DNS-servrar som tillhandahålls av en Internet-leverantör (ISP) eller organisationens egen server. DNS-servrar används i nätverk för att förbättra prestandan genom att cachelagra tidigare erhållna resultat. Cacheförgiftning på en DNS-server kan påverka användare som serveras direkt på en fjärrserver eller de som serveras av den servern.
För att utföra cacheförgiftning utnyttjar en angripare brister i DNS-serverns programvara. Servern måste korrekt validera DNS-svar för att säkerställa att de kommer från en pålitlig källa (till exempel med DNSSEC ); Annars kan servern cachelagra ogiltiga poster lokalt och tillhandahålla dem till andra användare som gör begäran.
Denna attack kan användas för att omdirigera användare från en webbplats till en annan webbplats som angriparen väljer. Till exempel förfalskar en angripare IP-adressen för en målwebbplats på en given DNS-server och ersätter den med en server-IP-adress under egen kontroll. Angriparen skapar filer på sin egen server med samma namn som de på målservern. Dessa filer innehåller vanligtvis skadligt innehåll som datormaskar eller virus . En användare vars dator hänvisar till en förgiftad DNS-server luras att ta emot innehåll som kommer från en obehörig server och omedvetet ladda ner det skadliga innehållet. Denna metod kan också användas för nätfiskeattacker , där en falsk version av den riktiga sidan skapas för att samla in personuppgifter som bank- och kredit-/betalkortsnummer.
Till exempel kan posten för serverns ns.target .e -exempel förgiftas och omdirigera alla förfrågningar till angriparens IP-adress wxyz . Dessa attacker förutsätter att namnservern för target.example är ns.target.example.
För att utföra attackerna måste angriparen tvinga mål-DNS-servern att fråga efter en domän som kontrolleras av en av angriparnas namnservrar.
Den första varianten av DNS-cacheförgiftning innebär att angriparens domännamnsserver omdirigeras till måldomänens namnserver och sedan tilldelas den namnservern till den IP-adress som angriparen har angett.
DNS-serverfråga: vad är IP-adressen för subdomain.attacker.example ?
subdomän.attacker.exempel. I ENAngriparens svar:
Svar: (inget svar) myndighetssektion: angripare.exempel. 3600 IN NS ns.target.example. Ytterligare avsnitt: ns.target.example. I A wxyzDen sårbara servern cachelagrar ytterligare poster (IP-adress) för ns.target.example , vilket gör att den kan svara på förfrågningar för hela target.example -domängruppen .
Det andra alternativet för DNS-cacheförgiftning innebär att omdirigera en namnserver från en annan domän, som inte är relaterad till den ursprungliga begäran, till en IP-adress från angriparen.
DNS-serverfråga: vad är IP-adressen för subdomain.attacker.example ?
subdomän.attacker.exempel. I ENAngriparens svar:
Svar: (inget svar) myndighetssektion: target.example. 3600 IN NS ns.attacker.example. Ytterligare avsnitt: ns.attacker.example. I A wxyzEn sårbar server cachelagrar orelaterade autentiseringsuppgifter för target.examples NS-post (namnserverpost), vilket gör att en angripare kan svara på frågor i hela target.example-domänen.
Många cacheförgiftningsattacker på DNS-servrar kan motverkas eftersom de inte litar på informationen som skickas till dem av andra DNS-servrar och ignorerar eventuella DNS-poster som skickas tillbaka som inte är direkt relaterade till frågan. Till exempel utför BIND versioner 9.5.0-P1 och senare dessa kontroller. Randomisering av källportar för DNS-förfrågningar, kombinerat med användningen av kryptografiskt säkra slumptal för att välja både källporten och ett 16-bitars kryptografiskt nummer, kan avsevärt minska sannolikheten för framgångsrika DNS-attacker.
Men när routrar , brandväggar , proxyservrar och andra gatewayenheter utför nätverksadressöversättning ( NAT ), eller mer specifikt portadressöversättning ( PAT ), kan de skriva om källportar för att hålla reda på anslutningens tillstånd. När du byter källportar kan PAT-enheter ta bort portslumpen som implementerats av namnservrar och stubbar.
Säker DNS ( DNSSEC ) använder kryptografiska digitala signaturer signerade av ett pålitligt certifikat för offentlig nyckel för att fastställa datas äkthet. DNSSEC kan motverka cacheförgiftningsattacker, men har från och med 2008 ännu inte blivit allmänt antagen. 2010 implementerades DNSSEC på servrar i Internets rotzon. [2]
En sådan attack kan mildras vid transportskiktet eller vid applikationslagret genom att utföra end-to-end-verifiering efter att en anslutning har upprättats. Ett vanligt exempel på detta är användningen av transportlagersäkerhet och digitala signaturer. Till exempel, med hjälp av HTTPS (en säker version av HTTP ) kan användare verifiera att serverns digitala certifikat är giltigt och tillhör den förväntade ägaren av webbplatsen. På samma sätt verifierar fjärrinloggningsprogrammet för säkra server de digitala certifikaten på slutpunkterna (om kända) innan sessionen fortsätter. För program som laddar ned uppdateringar automatiskt kan programmet infoga en kopia av signeringscertifikatet lokalt och verifiera signaturen som lagras i programuppdateringen mot det inbäddade certifikatet.