una dintre funcțiile unui server DNS este de a traduce un nume de domeniu într-o adresă IP pe care aplicațiile trebuie să o conecteze la o resursă de Internet, cum ar fi un site web. Această funcționalitate este definită în diferite standarde formale de internet care definesc protocolul în detaliu considerabil. Serverele DNS sunt implicit de încredere de către computerele și utilizatorii care se confruntă cu internet pentru a rezolva corect numele la adresele reale care sunt înregistrate de proprietarii unui domeniu de internet.

Rogue DNS serverEdit

un server DNS necinstiți traduce nume de domeniu de site-uri de dorit (motoare de căutare, bănci, brokeri, etc.) în adresele IP ale site-urilor cu conținut neintenționat, chiar și site-uri web rău intenționate. Majoritatea utilizatorilor depind de serverele DNS atribuite automat de ISP-urile lor. Computerele Zombie folosesc troieni care schimbă DNS pentru a comuta invizibil atribuirea automată a serverului DNS de către ISP la atribuirea manuală a serverului DNS de pe serverele DNS necinstite. Serverele DNS atribuite unui router pot fi, de asemenea, modificate prin exploatarea de la distanță a unei vulnerabilități din firmware-ul routerului. Atunci când utilizatorii încearcă să viziteze site-uri web, acestea sunt în schimb trimise la un site fals. Acest atac este numit pharming. Dacă site-ul către care sunt redirecționați este un site web rău intenționat, deghizat ca un site web legitim, pentru a obține în mod fraudulos informații sensibile, se numește phishing.

manipularea de către ISP-Uriedit

un număr de ISP-uri de consum, cum ar fi AT&T, Cablevision Optimum Online, CenturyLink, Cox Communications, RCN, Rogers, Charter Communications (Spectrum), Plusnet, Verizon, Sprint, T-Mobile US, Virgin Media, Frontier Communications, Bell Sympatico, Deutsche Telekom AG, Optus, Mediacom, ONO, TalkTalk, Bigpond (Telstra), TTNET, t unixtrksat și Telkom Indonesia utilizează sau utilizează deturnarea DNS în scopuri proprii, cum ar fi afișarea de reclame sau colectarea de statistici. ISP-urile Olandeze XS4ALL și Ziggo folosesc deturnarea DNS prin ordin judecătoresc: li s-a ordonat să blocheze accesul la Pirate Bay și să afișeze în schimb o pagină de avertizare. Aceste practici încalcă standardul RFC pentru răspunsurile DNS (NXDOMAIN) și pot deschide utilizatorii la atacuri de scriptare pe mai multe site-uri.

preocuparea cu deturnarea DNS implică această deturnare a răspunsului NXDOMAIN. Aplicațiile Internet și intranet se bazează pe răspunsul NXDOMAIN pentru a descrie condiția în care DNS nu are nicio intrare pentru gazda specificată. Dacă cineva ar interoga numele de domeniu nevalid (de exemplu www.exemplu.invalid), ar trebui să obțineți un răspuns NXDOMAIN – informând Aplicația că numele este nevalid și luând măsurile corespunzătoare (de exemplu, afișarea unei erori sau încercarea de a nu vă conecta la server). Cu toate acestea, dacă numele de domeniu este interogat pe unul dintre acești ISP-uri neconforme, s-ar primi întotdeauna o adresă IP falsă aparținând ISP-ului. Într-un browser web, acest comportament poate fi enervant sau ofensator, deoarece conexiunile la această adresă IP afișează pagina de redirecționare ISP a furnizorului, uneori cu publicitate, în loc de un mesaj de eroare adecvat. Cu toate acestea, alte aplicații care se bazează pe eroarea NXDOMAIN vor încerca în schimb să inițieze conexiuni la această adresă IP falsificată, expunând potențial informații sensibile.

Exemple de funcționalitate care se rupe atunci când un ISP deturnează DNS:

  • laptopurile de Roaming care sunt membre ale unui domeniu Windows Server vor fi conduse în mod fals să creadă că se întorc într-o rețea corporativă, deoarece resurse precum controlere de domeniu, servere de e-mail și alte infrastructuri vor părea disponibile. Prin urmare, aplicațiile vor încerca să inițieze conexiuni la aceste servere corporative, dar nu reușesc, ducând la performanțe degradate, trafic inutil pe conexiunea la Internet și timeout-uri.
  • multe rețele mici de birouri și de acasă nu au propriul server DNS, bazându-se în schimb pe rezoluția numelui difuzat. Multe versiuni ale Microsoft Windows implicit pentru prioritizarea rezoluției numelui DNS deasupra emisiunilor de rezoluție a numelui NetBIOS; prin urmare, atunci când un server DNS ISP returnează o adresă IP (validă din punct de vedere tehnic) pentru numele computerului dorit din LAN, computerul de conectare folosește această adresă IP incorectă și inevitabil nu reușește să se conecteze la computerul dorit din LAN. Soluțiile alternative includ utilizarea adresei IP corecte în locul numelui computerului sau modificarea valorii de registry DhcpNodeType pentru a schimba comanda serviciului de rezoluție a numelui.
  • browserele precum Firefox nu mai au funcționalitatea de navigare după nume (unde cuvintele cheie introduse în bara de adrese duc utilizatorii la cel mai apropiat site de potrivire).
  • clientul DNS local încorporat în sistemele de operare moderne va memora în cache rezultatele căutărilor DNS din motive de performanță. Dacă un client comută între o rețea de domiciliu și un VPN, intrările false pot rămâne în cache, creând astfel o întrerupere a serviciului pe conexiunea VPN.
  • soluțiile anti-spam DNSBL se bazează pe DNS; prin urmare, rezultatele DNS false interferează cu funcționarea lor.
  • datele confidențiale ale utilizatorilor ar putea fi scurse de aplicațiile care sunt păcălite de ISP să creadă că serverele la care doresc să se conecteze sunt disponibile.
  • alegerea utilizatorului asupra motorului de căutare pe care să îl consulte în cazul în care o adresă URL este introdusă greșit într-un browser este eliminată, deoarece ISP-ul determină ce rezultate de căutare sunt afișate utilizatorului.
  • computerele configurate să utilizeze un tunel divizat cu o conexiune VPN vor înceta să funcționeze, deoarece numele intranetului care nu ar trebui rezolvate în afara tunelului prin Internetul public vor începe să se rezolve la adrese fictive, în loc să se rezolve corect prin tunelul VPN de pe un server DNS privat atunci când un răspuns NXDOMAIN este primit de pe Internet. De exemplu, un client de e-mail care încearcă să rezolve DNS o înregistrare pentru un server de e-mail intern poate primi un răspuns DNS fals care l-a direcționat către un server web cu rezultate plătite, cu mesaje în coadă pentru livrare zile întregi, în timp ce retransmisia a fost încercată în zadar.
  • se rupe Web Proxy Autodiscovery Protocol (WPAD) de conducere browsere web să creadă incorect că ISP are un server proxy configurat.
  • se rupe software-ul de monitorizare. De exemplu, dacă cineva contactează periodic un server pentru a-i determina starea de sănătate, un monitor nu va vedea niciodată o defecțiune decât dacă monitorul încearcă să verifice cheia criptografică a serverului.

în unele, dar nu în majoritatea cazurilor, ISP-urile oferă setări configurabile pentru abonați pentru a dezactiva deturnarea răspunsurilor NXDOMAIN. Implementată corect, o astfel de setare readuce DNS la comportamentul standard. Cu toate acestea, alți ISP folosesc în schimb un cookie de browser web pentru a stoca preferința. În acest caz, comportamentul de bază nu este rezolvat: Interogările DNS continuă să fie redirecționate, în timp ce pagina de redirecționare ISP este înlocuită cu o pagină de eroare DNS contrafăcută. Aplicațiile, altele decât browserele web, nu pot fi excluse din schemă folosind cookie-uri, deoarece opțiunea de renunțare vizează doar protocolul HTTP, atunci când schema este implementată efectiv în sistemul DNS neutru din protocol.

Lasă un răspuns

Adresa ta de email nu va fi publicată.