en af funktionerne på en DNS-server er at oversætte et domænenavn til en IP-adresse, som applikationer har brug for for at oprette forbindelse til en internetressource, såsom en hjemmeside. Denne funktionalitet er defineret i forskellige formelle internetstandarder, der definerer protokollen i detaljer. DNS-servere er implicit betroet af internetvendte computere og brugere til korrekt at løse navne til de faktiske adresser, der er registreret af ejerne af et internetdomæne.

Rogue DNS serverEdit

en rogue DNS-server oversætter domænenavne på ønskelige hjemmesider (søgemaskiner, banker, mæglere osv.) i IP-adresser på sider med utilsigtet indhold, selv ondsindede hjemmesider. De fleste brugere er afhængige af DNS-servere, der automatisk tildeles af deres internetudbydere. Computere bruger DNS-skiftende trojanere til usynligt at skifte den automatiske DNS-servertildeling af internetudbyderen til manuel DNS-servertildeling fra rogue DNS-servere. En routers tildelte DNS-servere kan også ændres gennem fjernudnyttelse af en sårbarhed i routerens firmaprogram. Når brugerne forsøger at besøge hjemmesider, de er i stedet sendt til en falsk hjemmeside. Dette angreb kaldes pharming. Hvis det sted, de omdirigeres til, er en ondsindet hjemmeside, maskeret som en legitim hjemmeside, for svigagtigt at få følsomme oplysninger, kaldes det phishing.

Manipulation af ISPsEdit

en række forbruger internetudbydere som at&t, Cablevision ‘ s Optimum Online, CenturyLink, RCN, Rogers, Charter Communications (Spectrum), Plusnet, Verison, Sprint, T-Mobile US, Virgin Media, Frontier Communications, Bell Sympatico, Deutsche Telekom AG, Optus, Mediacom, Ono, TalkTalk, Bigpond (Telstra), TTNET, t-rrksat og Telkom Indonesia bruger eller brugte DNS-kapring til deres egne formål, såsom visning af reklamer eller indsamling af statistik. Hollandske Internetudbydere 4all og Siggo bruger DNS-kapring ved retskendelse: de blev beordret til at blokere adgangen til The Pirate Bay og vise en advarselsside i stedet. Denne praksis overtræder RFC-standarden for DNS-svar og kan potentielt åbne brugere for scriptangreb på tværs af steder.

bekymringen med DNS-kapring involverer denne kapring af DOMÆNESVARET. Internet-og intranetapplikationer er afhængige af DOMÆNESVARET for at beskrive tilstanden, hvor DNS ikke har nogen post for den angivne vært. Hvis man skulle forespørge det ugyldige domænenavn (f.eks.eksempel.- informere applikationen om, at navnet er ugyldigt og træffe den relevante handling (for eksempel at vise en fejl eller ikke forsøge at oprette forbindelse til serveren). Men hvis domænenavnet forespørges på en af disse ikke-kompatible internetudbydere, vil man altid modtage en falsk IP-adresse, der tilhører internetudbyderen. Denne adfærd kan være irriterende eller stødende, da forbindelser til denne IP-adresse viser udbyderens ISP-omdirigeringsside, undertiden med reklame, i stedet for en ordentlig fejlmeddelelse. Imidlertid vil andre applikationer, der er afhængige af DOMÆNEFEJLEN, i stedet forsøge at starte forbindelser til denne falske IP-adresse og potentielt udsætte følsomme oplysninger.

eksempler på funktionalitet, der går i stykker, når en internetudbyder kaprer DNS:

  • Roaming-bærbare computere, der er medlemmer af et Serverdomæne, vil fejlagtigt blive ført til at tro, at de er tilbage på et virksomhedsnetværk, fordi ressourcer som domænecontrollere, e-mail-servere og anden infrastruktur ser ud til at være tilgængelige. Applikationer vil derfor forsøge at starte forbindelser til disse virksomhedsservere, men mislykkes, hvilket resulterer i forringet ydelse, unødvendig trafik på internetforbindelsen og timeouts.
  • mange små Kontor-og hjemmenetværk har ikke deres egen DNS-server og stoler i stedet på broadcast name resolution. Mange versioner af Microsoft-vinduer er standard til at prioritere DNS-navneopløsning over NetBIOS-navneopløsningsudsendelser; når en internetudbyder DNS-server returnerer en (teknisk gyldig) IP-adresse for navnet på den ønskede computer på LAN ‘et, bruger den tilsluttede computer derfor denne forkerte IP-adresse og undlader uundgåeligt at oprette forbindelse til den ønskede computer på LAN’ et. Løsninger omfatter brug af den korrekte IP-adresse i stedet for computernavnet eller ændring af dhcpnodetype-registreringsværdien for at ændre navneopløsningstjenestebestilling.
  • brugere som f.eks. har ikke længere deres ‘Gennemse efter navn’ – funktionalitet (hvor nøgleord, der er indtastet i adresselinjen, fører brugerne til det nærmeste matchende sted).
  • den lokale DNS-klient, der er indbygget i moderne operativsystemer, vil cache resultater af DNS-søgninger af ydeevneårsager. Hvis en klient skifter mellem et hjemmenetværk og en VPN, kan falske poster forblive cachelagrede og derved skabe en serviceafbrydelse på VPN-forbindelsen.
  • DNSBL anti-spam-løsninger er afhængige af DNS; falske DNS-resultater forstyrrer derfor deres drift.
  • fortrolige brugerdata kan lækkes af applikationer, der narres af internetudbyderen til at tro, at de servere, de ønsker at oprette forbindelse til, er tilgængelige.
  • brugervalg over, hvilken søgemaskine der skal konsulteres i tilfælde af, at en URL mistypes i en bro.ser, fjernes, da internetudbyderen bestemmer, hvilke søgeresultater der vises for brugeren.
  • computere, der er konfigureret til at bruge en delt tunnel med en VPN-forbindelse, holder op med at fungere, fordi intranetnavne, der ikke skal løses uden for tunnelen over det offentlige Internet, begynder at løse til fiktive adresser i stedet for at løse korrekt over VPN-tunnelen på en privat DNS-server, når der modtages et DOMÆNESVAR fra internettet. For eksempel, en mailklient, der forsøger at løse DNS en post for en intern mailserver, kan modtage et falsk DNS-svar, der dirigerede det til en server med betalte resultater, med meddelelser i kø til levering i flere dage, mens genudsendelse blev forsøgt forgæves.
  • det bryder Autodiscovery Protocol ved at lede internetsøgere til at tro forkert, at internetudbyderen har en fuldmægtigserver konfigureret.
  • det bryder overvågningsprogrammer. For eksempel, hvis man med jævne mellemrum kontakter en server for at bestemme dens helbred, vil en skærm aldrig se en fejl, medmindre skærmen forsøger at verificere serverens kryptografiske nøgle.

i nogle, men ikke de fleste tilfælde, giver Internetudbydere abonnentkonfigurerbare indstillinger for at deaktivere kapring af DOMÆNESVAR. Korrekt implementeret vender en sådan indstilling DNS tilbage til standardadfærd. Andre internetudbydere bruger i stedet en cookie til at gemme præferencen. I dette tilfælde løses den underliggende adfærd ikke: DNS-forespørgsler omdirigeres fortsat, mens ISP-omdirigeringssiden erstattes med en forfalsket DNS-fejlside. Andre applikationer end internetsøgere kan ikke frameldes ordningen ved hjælp af cookies, da opt-out kun er rettet mod HTTP-protokollen, når ordningen faktisk implementeres i det protokolneutrale DNS-system.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.