yksi DNS-palvelimen tehtävistä on kääntää verkkotunnus IP-osoitteeksi, jonka sovellusten on yhdistettävä Internet-resurssiin, kuten verkkosivustoon. Tämä toiminto on määritelty useissa virallisissa internet-standardeissa, jotka määrittelevät protokollan huomattavan yksityiskohtaisesti. DNS-palvelimet ovat implisiittisesti luottaa Internetin päin tietokoneet ja käyttäjät oikein ratkaista nimet todellinen osoitteet, jotka ovat rekisteröity omistajat internet domain.

Rogue DNS serverEdit

rogue DNS-palvelin kääntää haluttujen verkkosivustojen (hakukoneet, pankit, välittäjät jne.) tahatonta sisältöä sisältävien sivustojen IP-osoitteisiin, jopa haitallisiin verkkosivustoihin. Useimmat käyttäjät ovat riippuvaisia DNS-palvelimia automaattisesti määritetty niiden ISP. Zombie tietokoneet käyttävät DNS-muuttuvat troijalaiset näkymättömästi vaihtaa automaattisen DNS-palvelimen toimeksiannon ISP manuaalinen DNS-palvelimen toimeksianto rogue DNS-palvelimet. Reitittimen määritettyjä DNS-palvelimia voidaan myös muuttaa käyttämällä haavoittuvuutta etäkäyttönä reitittimen laiteohjelmistossa. Kun käyttäjät yrittävät vierailla verkkosivuilla, ne sen sijaan lähetetään tekaistu verkkosivuilla. Tätä hyökkäystä kutsutaan pharmingiksi. Jos sivusto, johon ne ohjataan, on haitallinen verkkosivusto, joka on naamioitu lailliseksi verkkosivustoksi, jotta arkaluonteisia tietoja voitaisiin petollisesti hankkia, sitä kutsutaan tietojenkalasteluksi.

Ispseditin manipulointi

useat kuluttajien Internet-palveluntarjoajat, kuten AT&t, Cablevision ’ s Optimum Online, CenturyLink, Cox Communications, RCN, Rogers, Charter Communications (Spectrum), Plusnet, Verizon, Sprint, T-Mobile US, Virgin Media, Frontier Communications, Bell Sympatico, Deutsche Telekom AG, Optus, Mediacom, ONO, TalkTalk, Bigpond (Telstra), TTNET, Türksat ja Telkom Indonesia käyttävät tai käyttävät DNS-kaappausta omiin tarkoituksiinsa, kuten mainosten näyttämiseen tai tilastojen keräämiseen. Hollantilaiset ispit XS4ALL ja Ziggo käyttävät DNS-kaappausta oikeuden päätöksellä: heidät määrättiin estämään pääsy the Pirate Bayhin ja näyttämään sen sijaan varoitussivu. Nämä käytännöt rikkovat DNS (NXDOMAIN)-vastausten RFC-standardia, ja ne voivat mahdollisesti avata käyttäjiä sivustorajat ylittäville skriptaushyökkäyksille.

huoli DNS-kaappauksesta liittyy tähän nxdomain-vastauksen kaappaamiseen. Internet-ja intranet-sovellukset käyttävät nxdomain-vastausta kuvaamaan tilaa, jossa DNS: llä ei ole merkintää määritetylle isännälle. Jos yksi olisi kysyä virheellinen verkkotunnus (esimerkiksi www.esimerkiksi.virheellinen), yksi pitäisi saada nxdomain vastaus-ilmoittamalla sovellus, että nimi on virheellinen ja ryhtymällä asianmukaisiin toimiin (esimerkiksi, näytetään virhe tai ei yritä muodostaa yhteyttä palvelimeen). Kuitenkin, jos verkkotunnus on tiedusteltu jokin näistä ei-yhteensopiva ISP, yksi saisi aina fake IP-osoite kuuluu ISP. Verkkoselaimessa tämä käytös voi olla ärsyttävää tai loukkaavaa, sillä tämän IP-osoitteen yhteydet näyttävät palveluntarjoajan ISP-uudelleenohjaussivua, joskus mainosten kera, oikean virheviestin sijaan. Kuitenkin muut sovellukset, jotka luottavat nxdomain-virheeseen, yrittävät sen sijaan käynnistää yhteyksiä tähän väärennettyyn IP-osoitteeseen, mikä saattaa paljastaa arkaluonteisia tietoja.

esimerkkejä toiminnallisuuksista, jotka katkeavat, kun ISP kaappaa DNS: n:

  • Roaming kannettavat tietokoneet, jotka ovat jäseniä Windows Server verkkotunnuksen valheellisesti johdetaan uskomaan, että ne ovat takaisin yritysverkossa, koska resursseja, kuten verkkotunnuksen ohjaimet, sähköpostipalvelimet ja muu infrastruktuuri näyttää olevan käytettävissä. Sovellukset yrittävät siis käynnistää yhteyksiä näihin yrityspalvelimiin, mutta epäonnistuvat, mikä johtaa heikentyneeseen suorituskykyyn, tarpeettomaan liikenteeseen internetyhteydessä ja aikakatkaisuihin.
  • monilla pienillä toimisto-ja kotiverkoilla ei ole omaa DNS-palvelinta, vaan ne tukeutuvat broadcast-nimen erottelukykyyn. Monet versiot Microsoft Windows oletuksena priorisointi DNS nimi resoluutio edellä NetBIOS nimi resoluutio lähetyksiä; siksi, kun ISP DNS-palvelin palauttaa (teknisesti pätevä) IP-osoite nimen halutun tietokoneen LAN, yhdistävä tietokone käyttää tätä virheellistä IP-osoite ja väistämättä epäonnistuu yhteyden haluttuun tietokoneeseen LAN. Workarounds sisältää oikean IP-osoitteen sijasta tietokoneen nimi, tai muuttamalla DhcpNodeType rekisterin arvo muuttaa nimen resoluutio palvelun tilaus.
  • Firefoxin kaltaisissa selaimissa ei ole enää ”Selaa nimellä” – toimintoa (jossa osoiteriville kirjoitetut avainsanat vievät käyttäjät lähimmälle vastaaville sivuille).
  • nykyaikaisiin käyttöjärjestelmiin rakennettu paikallinen DNS-asiakas tallentaa DNS-hakujen tulokset suorituskykysyistä. Jos asiakas vaihtaa kotiverkon ja VPN: n välillä, väärät merkinnät voivat jäädä välimuistiin, jolloin VPN-yhteys katkeaa.
  • DNSBL roskapostinvastaiset ratkaisut luottavat DNS: ään; väärät DNS-tulokset häiritsevät siten niiden toimintaa.
  • luottamuksellisia käyttäjätietoja saattavat vuotaa sovellukset, joita ISP huijaa uskomaan, että palvelimet, joihin he haluavat muodostaa yhteyden, ovat käytettävissä.
  • käyttäjän valinta, minkä hakukoneen puoleen kannattaa kääntyä, jos URL kirjoitetaan väärin selaimessa, poistetaan, kun ISP määrittää, mitä hakutuloksia käyttäjälle näytetään.
  • tietokoneet, jotka on määritetty käyttämään jaettua tunnelia, jossa on VPN-yhteys, lakkaavat toimimasta, koska intranet-nimet, joita ei pitäisi ratkaista tunnelin ulkopuolella julkisen Internetin kautta, alkavat ratkoa tekaistuiksi osoitteiksi sen sijaan, että ne ratkeaisivat oikein VPN-tunnelin yli yksityisellä DNS-palvelimella, kun Internetistä saadaan nxdomain-vastaus. Esimerkiksi, sähköpostiohjelma yrittää ratkaista DNS tietueen sisäisen sähköpostipalvelimen voi saada väärän DNS vastaus, joka ohjasi sen maksettu-tulokset web-palvelin, jossa viestit jonossa toimitukseen päiviä, kun edelleenlähetys yritettiin turhaan.
  • se rikkoo Web Proxy Autodiscovery-protokollan (WPAD) johtamalla verkkoselaimet uskomaan väärin, että ISP: llä on välityspalvelin konfiguroituna.
  • se rikkoo seurantaohjelmiston. Esimerkiksi jos joku ottaa säännöllisesti yhteyttä palvelimeen selvittääkseen sen terveydentilan, monitori ei koskaan näe vikaa, ellei monitori yritä tarkistaa palvelimen salausavainta.

joissakin, mutta ei useimmissa tapauksissa, Internet-palveluntarjoajat tarjoavat tilaajan konfiguroitavia asetuksia nxdomain-vastausten kaappaamisen estämiseksi. Oikein toteutettuna tällainen asetus palauttaa DNS: n normaalikäyttäytymiseen. Muut Internet-palveluntarjoajat käyttävät sen sijaan verkkoselainevästettä mieltymysten tallentamiseen. Tällöin taustalla oleva käyttäytyminen ei ratkea: DNS-kyselyt ohjataan edelleen uudelleen, kun taas ISP-uudelleenohjaussivu korvataan väärennetyllä DNS-virhesivulla. Muita sovelluksia kuin verkkoselaimia ei voi poistaa järjestelmästä evästeiden avulla, koska opt-out kohdistuu vain HTTP-protokollaan, kun järjestelmä on tosiasiallisesti toteutettu protokollaneutraalissa DNS-järjestelmässä.

Vastaa

Sähköpostiosoitettasi ei julkaista.