DNS keširanje
Internet nema samo jedan DNS server, jer bi to bilo krajnje neefikasno. Vaš provajder Internet usluga pokreće sopstvene DNS servere, koji keširaju informacije sa drugih DNS servera. Vaš kućni ruter funkcioniše kao DNS server, koji sprema informacije sa DNS servera vašeg ISP-a. Vaš računar ima lokalnu DNS keš memoriju, tako da može brzo uputiti na DNS pretraživanja koja su već obavljena, umjesto da iznova i iznova obavlja DNS pretragu.
DNS keš trovanje
DNS keš memorija može postati zatrovana ako sadrži netačan unos. Na primjer, ako napadač dobije kontrolu nad DNS serverom i promijeni neke informacije na njemu - na primjer, mogli bi reći da google.com zapravo ukazuje na IP adresu koju napadač posjeduje - taj DNS server bi rekao svojim korisnicima da pogledaju za Google.com na pogrešnoj adresi. Adresa napadača mogla bi sadržavati neku vrstu zlonamjerne phishing web stranice
Ovakvo trovanje DNS-om se također može širiti. Na primjer, ako različiti provajderi Internet usluga dobijaju svoje DNS informacije sa kompromitovanog servera, zatrovani DNS unos će se proširiti do provajdera Internet usluga i tamo biti keširan. Zatim će se proširiti na kućne rutere i DNS keš memorije na računarima dok traže DNS unos, primaju netačan odgovor i pohranjuju ga.
Veliki kineski zaštitni zid se širi na SAD
Ovo nije samo teoretski problem - to se dogodilo u stvarnom svijetu u velikim razmjerima. Jedan od načina na koji funkcioniše Kineski Veliki zaštitni zid je blokiranje na nivou DNS-a. Na primjer, web lokacija blokirana u Kini, kao što je twitter.com, može imati DNS zapise usmjerene na netačnu adresu na DNS serverima u Kini. To bi dovelo do toga da Twitter bude nedostupan normalnim putem. Zamislite ovo kao Kina koja namjerno truje svoje kešove DNS servera.
U 2010., provajder Internet usluga izvan Kine greškom je konfigurisao svoje DNS servere da preuzimaju informacije sa DNS servera u Kini. Dohvatio je netačne DNS zapise iz Kine i keširao ih na vlastitim DNS serverima. Drugi provajderi Internet usluga preuzimali su DNS informacije od tog Internet provajdera i koristili ih na svojim DNS serverima. Zatrovani DNS unosi su nastavili da se šire sve dok nekim ljudima u SAD nije blokiran pristup Twitteru, Facebooku i YouTubeu na njihovim američkim internet provajderima. Kineski veliki zaštitni zid je „procurio“van svojih nacionalnih granica, sprečavajući ljude iz drugih delova sveta da pristupe ovim veb stranicama. Ovo je u suštini funkcionisalo kao napad DNS trovanja velikih razmera. (Izvor.)
Rješenje
Pravi razlog zašto je trovanje DNS keša toliki problem je taj što ne postoji pravi način da se utvrdi da li su DNS odgovori koje primite zaista legitimni ili su izmanipulisani.
Dugotrajno rješenje za trovanje DNS keša je DNSSEC. DNSSEC će omogućiti organizacijama da potpišu svoje DNS zapise koristeći kriptografiju javnog ključa, osiguravajući da će vaš računar znati da li se DNS zapisu treba vjerovati ili je zatrovan i preusmjerava na pogrešnu lokaciju.
