a DNS-kiszolgáló egyik funkciója egy domain név lefordítása egy IP-címre, amelyhez az alkalmazásoknak csatlakozniuk kell egy internetes erőforráshoz, például egy webhelyhez. Ezt a funkcionalitást különféle hivatalos internetes szabványok határozzák meg, amelyek jelentős részletességgel határozzák meg a protokollt. A DNS-kiszolgálókat az internetre néző számítógépek és a felhasználók hallgatólagosan megbízják abban, hogy helyesen oldják meg a neveket az internetes tartomány tulajdonosai által regisztrált tényleges címekre.

Rogue DNS serverEdit

a rogue DNS szerver lefordítja a kívánt webhelyek (keresőmotorok, bankok, brókerek stb.) a nem szándékolt tartalmú webhelyek IP-címeire, még rosszindulatú webhelyekre is. A legtöbb felhasználó az internetszolgáltatók által automatikusan hozzárendelt DNS-kiszolgálóktól függ. A zombi számítógépek DNS-t váltó trójaiak segítségével láthatatlanul váltják át az internetszolgáltató automatikus DNS-kiszolgáló-hozzárendelését kézi DNS-kiszolgáló-hozzárendelésre a szélhámos DNS-kiszolgálókról. Az útválasztó hozzárendelt DNS-kiszolgálói az útválasztó firmware-jének biztonsági résének távoli kihasználásával is megváltoztathatók. Amikor a felhasználók megpróbálják meglátogatni a webhelyeket, ehelyett egy hamis webhelyre küldik őket. Ezt a támadást pharmingnak nevezik. Ha az átirányított webhely rosszindulatú webhely, legitim webhelynek álcázva, hogy csalárd módon bizalmas információkat szerezzen, adathalászatnak hívják.

manipuláció az ISPsEdit által

számos fogyasztói internetszolgáltató, például az AT&T, a Cablevision Optimum Online, a CenturyLink, a Cox Communications, az RCN, a Rogers, a Charter Communications (Spectrum), a Plusnet, a Verizon, a Sprint, A T-Mobile US, a Virgin Media, A Frontier Communications, A Bell Sympatico, a Deutsche Telekom AG, az Optus, a Mediacom, az ONO, a TalkTalk, a Bigpond (Telstra), a TTNET, a t inconkrksat és a Telkom Indonesia a DNS-eltérítést saját céljaikra használják vagy használják, például hirdetések megjelenítésére vagy statisztikák gyűjtésére. Holland Internetszolgáltatók XS4ALL, Ziggo használja DNS eltérítés bírósági végzés: arra utasították őket, hogy blokkolják a hozzáférést A Pirate Bay-hez, és ehelyett figyelmeztető oldalt jelenítsenek meg. Ezek a gyakorlatok sértik a DNS (NXDOMAIN) válaszokra vonatkozó RFC szabványt, és potenciálisan megnyithatják a felhasználókat a webhelyek közötti szkriptelési támadásokra.

a DNS-eltérítéssel kapcsolatos aggodalom magában foglalja az NXDOMAIN válasz eltérítését. Az internetes és intranetes alkalmazások az NXDOMAIN válaszra támaszkodnak annak leírására, hogy a DNS-nek nincs bejegyzése a megadott gazdagéphez. Ha valaki lekérdezi Az érvénytelen domain nevet (például www.példa.érvénytelen), egy nxdomain választ kell kapnia – tájékoztatva az alkalmazást, hogy a név érvénytelen, és megteszi a megfelelő műveletet (például hibát jelenít meg, vagy nem próbál csatlakozni a szerverhez). Ha azonban a domain nevet lekérdezik ezen nem megfelelő Internetszolgáltatók egyikén,akkor mindig az internetszolgáltatóhoz tartozó hamis IP-címet kap. Egy webböngészőben ez a viselkedés bosszantó vagy sértő lehet, mivel az ehhez az IP-címhez tartozó kapcsolatok megfelelő hibaüzenet helyett a Szolgáltató internetszolgáltató átirányítási oldalát jelenítik meg, néha hirdetéssel. Azonban más alkalmazások, amelyek az NXDOMAIN hibára támaszkodnak, ehelyett megpróbálnak kapcsolatot kezdeményezni ezzel a hamisított IP-címmel, potenciálisan érzékeny információkat tárva fel.

példák olyan funkciókra, amelyek megszakadnak, amikor egy internetszolgáltató eltéríti a DNS-t:

  • A Windows Server tartományhoz tartozó Roaming laptopok hamisan azt fogják hinni, hogy visszatértek a vállalati hálózathoz, mert úgy tűnik, hogy rendelkezésre állnak olyan erőforrások, mint a tartományvezérlők, az e-mail szerverek és más infrastruktúra. Az alkalmazások ezért megpróbálnak kapcsolatot kezdeményezni ezekkel a vállalati szerverekkel, de kudarcot vallanak, ami a teljesítmény romlását, az internetkapcsolat szükségtelen forgalmát és időtúllépést eredményez.
  • sok kis irodai és otthoni hálózat nem rendelkezik saját DNS-kiszolgálóval, ehelyett a broadcast névfeloldására támaszkodik. A Microsoft Windows számos verziója alapértelmezés szerint rangsorolja a DNS-névfeloldást a NetBIOS névfeloldási adások felett; ezért, amikor egy ISP DNS-kiszolgáló (technikailag érvényes) IP-címet ad vissza a LAN-on lévő kívánt számítógép nevéhez, a csatlakozó számítógép ezt a helytelen IP-címet használja, és elkerülhetetlenül nem csatlakozik a LAN-on lévő kívánt számítógéphez. A megoldások közé tartozik a helyes IP-cím használata a számítógép neve helyett, vagy a DhcpNodeType beállításjegyzék értékének megváltoztatása a névfeloldási szolgáltatás megrendelésének megváltoztatásához.
  • az olyan böngészők, mint a Firefox, már nem rendelkeznek ‘Név szerinti böngészés’ funkcióval (ahol a címsorba beírt kulcsszavak a felhasználókat a legközelebbi megfelelő webhelyre vezetik).
  • a modern operációs rendszerekbe épített helyi DNS-kliens teljesítmény okokból gyorsítótárazza a DNS-keresések eredményeit. Ha az ügyfél otthoni hálózat és VPN között vált, a hamis bejegyzések gyorsítótárban maradhatnak, ezáltal szolgáltatáskimaradást okozva a VPN-kapcsolaton.
  • a DNSBL anti-spam megoldások DNS-re támaszkodnak; a hamis DNS-eredmények ezért zavarják működésüket.
  • bizalmas felhasználói adatokat szivárogtathatnak ki olyan alkalmazások, amelyeket az internetszolgáltató becsapott, hogy elhiggyék, hogy azok a szerverek, amelyekhez csatlakozni kívánnak, rendelkezésre állnak.
  • a felhasználó választása, hogy melyik keresőmotort keresse meg abban az esetben, ha egy URL-t rosszul írnak be a böngészőben, eltávolításra kerül, mivel az internetszolgáltató meghatározza, hogy milyen keresési eredmények jelennek meg a felhasználó számára.
  • a VPN-kapcsolattal rendelkező osztott alagút használatára konfigurált számítógépek leállnak, mert az intranetes nevek, amelyeket nem szabad az alagúton kívül feloldani a nyilvános Interneten keresztül, fiktív címekké kezdenek feloldódni, ahelyett, hogy helyesen oldanák meg a VPN-alagutat egy privát DNS-kiszolgálón, amikor NXDOMAIN válasz érkezik az internetről. Például egy belső levelezőszerver DNS a rekordjának feloldását megkísérlő levelező kliens hamis DNS-választ kaphat, amely fizetett eredményű webszerverre irányította, az üzenetek napokig sorban álltak a kézbesítéshez, miközben hiába próbálták meg az újraküldést.
  • megszakítja a Web Proxy Autodiscovery Protocol (WPAD) protokollt azzal, hogy a webböngészők tévesen azt hiszik, hogy az internetszolgáltató proxykiszolgálóval rendelkezik konfigurálva.
  • megszakítja a felügyeleti szoftvert. Például, ha valaki rendszeresen kapcsolatba lép egy kiszolgálóval annak állapotának meghatározása érdekében, a monitor soha nem fog hibát látni, kivéve, ha a monitor megpróbálja ellenőrizni a kiszolgáló kriptográfiai kulcsát.

néhány, de nem a legtöbb esetben az internetszolgáltatók Előfizetői konfigurálható beállításokat biztosítanak az nxdomain válaszok eltérítésének letiltására. Helyesen végrehajtva egy ilyen beállítás visszaállítja a DNS-t a szokásos viselkedésre. Más internetszolgáltatók azonban ehelyett webböngésző cookie-t használnak a preferencia tárolására. Ebben az esetben a mögöttes viselkedés nem oldódik meg: A DNS-lekérdezések továbbra is átirányításra kerülnek, míg az internetszolgáltató átirányítási oldalát hamis DNS-hibaoldal váltja fel. A webböngészőktől eltérő alkalmazásokat nem lehet letiltani a sémából cookie-k használatával, mivel az opt-out csak a HTTP protokollt célozza meg, amikor a sémát ténylegesen megvalósítják a protokoll-semleges DNS rendszerben.

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.