jednou z funkcí serveru DNS je přeložit název domény na adresu IP, kterou aplikace potřebují k připojení k internetovému zdroji, jako je web. Tato funkce je definována v různých formálních internetových standardech, které definují protokol značně podrobně. Servery DNS jsou implicitně důvěryhodné počítači orientovanými na internet a uživateli, aby správně vyřešili jména na skutečné adresy registrované vlastníky internetové domény.

Rogue DNS serverEdit

rogue DNS server překládá doménová jména žádoucích webových stránek (vyhledávače,banky, makléři atd.) do IP adres webů s nezamýšleným obsahem, dokonce i škodlivými weby. Většina uživatelů závisí na serverech DNS automaticky přiřazených jejich poskytovateli internetových služeb. Počítače Zombie používají trojské koně měnící DNS k neviditelnému přepnutí automatického přiřazení serveru DNS ISP na ruční přiřazení serveru DNS z nepoctivých serverů DNS. Přiřazené servery DNS routeru lze také změnit vzdáleným využitím chyby zabezpečení ve firmwaru routeru. Když se uživatelé pokusí navštívit webové stránky, místo toho jsou posláni na falešný web. Tento útok se nazývá pharming. Pokud je web, na který jsou přesměrováni, škodlivý web, maskovaný jako legitimní web, za účelem podvodného získání citlivých informací, nazývá se phishing.

manipulace Ispedit

řada spotřebitelských poskytovatelů internetových služeb, jako je AT&T, Cablevision Optimum Online, CenturyLink, Cox Communications, RCN, Rogers, Charter Communications (Spectrum), Plusnet, Verizon, Sprint, T-Mobile USA, Virgin Media, Frontier Communications, Bell Sympatico, Deutsche Telekom AG, Optus, Mediacom, ONO, TalkTalk, Bigpond (Telstra), TTNET, Türksat a Telkom Indonesia používají nebo používají únosy DNS pro své vlastní účely, jako je zobrazování reklam nebo shromažďování statistik. Nizozemští poskytovatelé internetových služeb XS4ALL a Ziggo používají únos DNS soudním příkazem: bylo jim nařízeno zablokovat přístup do Pirate Bay a místo toho zobrazit varovnou stránku. Tyto postupy porušují standard RFC pro odpovědi DNS (NXDOMAIN) a mohou potenciálně otevřít uživatelům skriptovací útoky napříč weby.

obavy z únosu DNS zahrnují tento únos odpovědi NXDOMAIN. Internetové a intranetové aplikace spoléhají na odpověď NXDOMAIN, aby popsaly stav, kdy DNS nemá pro zadaného hostitele žádný záznam. Pokud by se jednalo o dotaz na neplatný název domény (například www.příklad.neplatný), měli byste dostat odpověď NXDOMAIN-informovat aplikaci, že název je neplatný, a provést příslušnou akci(například zobrazení chyby nebo nepokoušení se připojit k serveru). Pokud je však název domény dotazován na jednom z těchto nevyhovujících poskytovatelů internetových služeb, vždy by člověk obdržel falešnou IP adresu patřící ISP. Ve webovém prohlížeči, toto chování může být nepříjemné nebo urážlivé, protože připojení k této IP adrese zobrazuje stránku přesměrování poskytovatele ISP, někdy s reklamou, místo správné chybové zprávy. Jiné aplikace, které se spoléhají na chybu NXDOMAIN, se však místo toho pokusí zahájit připojení k této falešné IP adrese, což potenciálně odhalí citlivé informace.

příklady funkcí, které se rozbijí, když ISP unese DNS:

  • roamingové notebooky, které jsou členy domény Windows Server, budou falešně vedeny k doméně, že jsou zpět v podnikové síti, protože se zdá, že jsou k dispozici zdroje, jako jsou řadiče domén, e-mailové servery a další infrastruktura. Aplikace se proto pokusí zahájit připojení k těmto podnikovým serverům, ale selžou, což má za následek snížený výkon, zbytečný provoz na připojení k Internetu a časové limity.
  • mnoho malých kancelářských a domácích sítí nemá svůj vlastní server DNS, místo toho se spoléhá na rozlišení názvu vysílání. Mnoho verzí systému Microsoft Windows ve výchozím nastavení upřednostňuje rozlišení názvu DNS nad vysíláním rozlišení názvu NetBIOS; pokud tedy Server ISP DNS vrátí (technicky platnou) IP adresu pro název požadovaného počítače v síti LAN, připojovací počítač použije tuto nesprávnou IP adresu a nevyhnutelně se nepřipojí k požadovanému počítači v síti LAN. Řešení zahrnují použití správné adresy IP namísto názvu počítače nebo změnu hodnoty registru DhcpNodeType pro změnu objednání služby rozlišení jména.
  • prohlížeče, jako je Firefox, již nemají funkci „Procházet podle názvu“ (kde klíčová slova zadaná v adresním řádku vedou uživatele na nejbližší odpovídající web).
  • lokální DNS klient zabudovaný do moderních operačních systémů bude ukládat do mezipaměti výsledky vyhledávání DNS z důvodů výkonu. Pokud klient přepíná mezi domácí sítí a VPN, mohou falešné záznamy zůstat v mezipaměti, čímž dojde k výpadku služby v připojení VPN.
  • DNSBL anti-spamová řešení se spoléhají na DNS; falešné výsledky DNS proto narušují jejich fungování.
  • důvěrná uživatelská data mohou unikat aplikacemi, které ISP podvádí, aby věřili, že servery, ke kterým se chtějí připojit, jsou k dispozici.
  • volba uživatele, nad kterým vyhledávačem se má poradit v případě, že je adresa URL v prohlížeči chybně napsána, je odstraněna, protože ISP určuje, jaké výsledky vyhledávání se uživateli zobrazí.
  • počítače nakonfigurované pro použití rozděleného tunelu s připojením VPN přestanou fungovat, protože názvy intranetů, které by neměly být vyřešeny mimo tunel přes veřejný Internet, se začnou řešit na fiktivní adresy namísto správného řešení přes tunel VPN na soukromém serveru DNS, když je odpověď NXDOMAIN přijata z Internetu. Například, poštovní klient, který se pokouší vyřešit záznam DNS pro interní poštovní server, může obdržet falešnou odpověď DNS, která jej nasměrovala na webový server s placenými výsledky, se zprávami ve frontě na doručení několik dní, zatímco opakovaný přenos byl marný pokus.
  • přeruší Web Proxy Autodiscovery Protocol (WPAD) tím, že vede webové prohlížeče, aby nesprávně věřili, že ISP má nakonfigurovaný proxy server.
  • rozbije monitorovací software. Pokud například někdo pravidelně kontaktuje server, aby zjistil jeho stav, monitor nikdy neuvidí selhání, pokud se monitor nepokusí ověřit kryptografický klíč serveru.

v některých, ale ne ve většině případů, poskytovatelé internetových služeb poskytují nastavení konfigurovatelné pro předplatitele, aby zakázali únos odpovědí NXDOMAIN. Správně implementováno, takové nastavení vrátí DNS ke standardnímu chování. Ostatní poskytovatelé internetových služeb však místo toho používají k uložení předvoleb soubor cookie webového prohlížeče. V tomto případě není základní chování vyřešeno: Dotazy DNS jsou nadále přesměrovány, zatímco stránka přesměrování ISP je nahrazena chybovou stránkou padělaného DNS. Aplikace jiné než webové prohlížeče nemohou být odhlášeny ze systému pomocí souborů cookie, protože opt-out se zaměřuje pouze na protokol HTTP, pokud je schéma skutečně implementováno v systému DNS neutrálním pro protokol.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.