een van de functies van een DNS-server is het vertalen van een domeinnaam naar een IP-adres dat toepassingen nodig hebben om verbinding te maken met een internetbron zoals een website. Deze functionaliteit wordt gedefinieerd in verschillende formele internetstandaarden die het protocol in aanzienlijk detail definiëren. DNS-servers worden impliciet vertrouwd door internetcomputers en gebruikers om namen correct om te zetten naar de werkelijke adressen die zijn geregistreerd door de eigenaren van een internetdomein.

Rogue DNS-serverEdit

een rogue DNS-server vertaalt domeinnamen van gewenste websites (zoekmachines, banken, makelaars, enz.) in IP-adressen van sites met onbedoelde inhoud, zelfs kwaadaardige websites. De meeste gebruikers zijn afhankelijk van DNS-servers die automatisch worden toegewezen door hun ISP ‘ s. Zombie computers gebruiken DNS-veranderende Trojaanse paarden om onzichtbaar over te schakelen van de automatische DNS-server toewijzing door de ISP naar handmatige DNS-server toewijzing van rogue DNS-servers. De toegewezen DNS-servers van een router kunnen ook worden gewijzigd door de externe exploitatie van een kwetsbaarheid binnen de firmware van de router. Wanneer gebruikers proberen om websites te bezoeken, worden ze in plaats daarvan verzonden naar een nep website. Deze aanval wordt pharming genoemd. Als de site waarnaar ze worden omgeleid een kwaadaardige website is, vermomd als een legitieme website, om op frauduleuze wijze gevoelige informatie te verkrijgen, wordt het phishing genoemd.Manipulatie door ISPsEdit

een aantal consumenten ISP ’s zoals AT & T, Cablevision’ s Optimum Online, CenturyLink, Cox Communications, RCN, Rogers, Charter Communications (Spectrum), Plusnet, Verizon, Sprint, T-Mobile US, Virgin Media, Frontier Communications, Bell Sympatico, Deutsche Telekom AG, Optus, Mediacom, ONO, TalkTalk, Bigpond (Telstra), TTNET, Türksat, en Telkom Indonesië gebruiken of gebruikt DNS hijacking voor hun eigen doeleinden, zoals het weergeven van advertenties of het verzamelen van statistieken. Nederlandse internetproviders XS4ALL en Ziggo gebruiken DNS-kaping bij gerechtelijk bevel: ze kregen het bevel om de toegang tot The Pirate Bay te blokkeren en in plaats daarvan een waarschuwingspagina te tonen. Deze praktijken zijn in strijd met de RFC-standaard voor DNS-reacties (NXDOMAIN) en kunnen gebruikers mogelijk openen voor cross-site scripting-aanvallen.

de zorg met DNS-kaping betreft deze kaping van de nxdomain-respons. Internet-en intranettoepassingen vertrouwen op het antwoord van NXDOMAIN om de voorwaarde te beschrijven waarbij de DNS geen ingang heeft voor de opgegeven host. Als men de ongeldige domeinnaam opvraagt (bijvoorbeeld www.bijvoorbeeld.ongeldig), zou men een nxdomain antwoord moeten krijgen-het informeren van de toepassing dat de naam ongeldig is en het nemen van de juiste actie (bijvoorbeeld, het weergeven van een fout of niet proberen om verbinding te maken met de server). Echter, als de domeinnaam wordt opgevraagd op een van deze niet-compliant ISP ‘ s, zou men altijd een nep IP-adres van de ISP ontvangen. In een webbrowser kan dit gedrag vervelend of beledigend zijn omdat verbindingen met dit IP-adres de ISP-omleidingspagina van de provider weergeven, soms met reclame, in plaats van een goede foutmelding. Echter, andere toepassingen die afhankelijk zijn van de nxdomain fout zal in plaats daarvan proberen om verbindingen te starten met dit vervalste IP-adres, mogelijk bloot gevoelige informatie.

voorbeelden van functionaliteit die breekt wanneer een ISP DNS kaapt:

  • Roaming laptops die lid zijn van een Windows Server domein zal ten onrechte worden geleid om te geloven dat ze terug op een bedrijfsnetwerk omdat middelen zoals domeincontrollers, e-mailservers en andere infrastructuur zal blijken beschikbaar te zijn. Applicaties zullen daarom proberen om verbindingen met deze bedrijfsservers te initiëren, maar mislukken, wat resulteert in verminderde prestaties, onnodig verkeer op de internetverbinding en time-outs.
  • veel kleine kantoor-en thuisnetwerken hebben geen eigen DNS-server, maar vertrouwen op broadcast-naamomzetting. Veel versies van Microsoft Windows standaard prioriteit DNS naam resolutie boven NetBIOS naam resolutie uitzendingen; daarom, wanneer een ISP DNS-server een (technisch geldig) IP-adres retourneert voor de naam van de gewenste computer op het LAN, gebruikt de verbindende computer dit onjuiste IP-adres en slaagt er onvermijdelijk niet in om verbinding te maken met de gewenste computer op het LAN. Oplossingen omvatten het gebruik van het juiste IP-adres in plaats van de computernaam, of het wijzigen van de DhcpNodeType-registerwaarde om de volgorde van de naamomzetterservice te wijzigen.
  • Browsers zoals Firefox hebben niet langer hun ‘Browse By Name’ – functionaliteit (waarbij trefwoorden die in de adresbalk worden getypt, gebruikers naar de meest overeenkomende site brengen).
  • de lokale DNS-client die is ingebouwd in moderne besturingssystemen zal de resultaten van DNS-zoekopdrachten cachen om prestatieredenen. Als een client wisselt tussen een thuisnetwerk en een VPN, kunnen valse vermeldingen in de cache blijven staan, waardoor een service-uitval op de VPN-verbinding ontstaat.
  • dnsbl anti-spam oplossingen vertrouwen op DNS; valse DNS resultaten interfereren dus met hun werking.
  • vertrouwelijke gebruikersgegevens kunnen worden gelekt door applicaties die door de ISP worden misleid om te geloven dat de servers waarmee ze verbinding willen maken beschikbaar zijn.
  • de keuze van de gebruiker over welke zoekmachine te raadplegen in het geval van een verkeerde URL in een browser wordt verwijderd als de ISP bepaalt welke zoekresultaten worden weergegeven aan de gebruiker.
  • Computers die zijn geconfigureerd voor het gebruik van een gesplitste tunnel met een VPN-verbinding zullen stoppen met werken omdat intranetnamen die niet buiten de tunnel via het openbare Internet moeten worden opgelost, zullen beginnen met het oplossen naar fictieve adressen, in plaats van het correct oplossen via de VPN-tunnel op een private DNS-server wanneer een nxdomain-antwoord wordt ontvangen van het Internet. Een e-mailclient die probeert de DNS A-record voor een interne e-mailserver op te lossen, kan bijvoorbeeld een vals DNS-antwoord ontvangen dat het naar een webserver met betaalde resultaten heeft geleid, waarbij berichten dagenlang in de wachtrij stonden terwijl tevergeefs werd geprobeerd om opnieuw te verzenden.
  • het breekt Web Proxy Autodiscovery Protocol (WPAD) door webbrowsers te laten geloven dat de ISP een proxyserver heeft geconfigureerd.
  • het breekt de bewakingssoftware. Als men bijvoorbeeld periodiek contact opneemt met een server om de status ervan te bepalen, zal een monitor nooit een storing zien, tenzij de monitor de cryptografische sleutel van de server probeert te verifiëren.

in sommige, maar niet de meeste gevallen, bieden de internetproviders abonnee-configureerbare instellingen om het kapen van nxdomain-reacties uit te schakelen. Correct geïmplementeerd, een dergelijke instelling keert DNS terug naar standaard gedrag. Andere internetproviders gebruiken echter in plaats daarvan een webbrowsercookie om de voorkeur op te slaan. In dit geval wordt het onderliggende gedrag niet opgelost: DNS query ‘ s blijven worden omgeleid, terwijl de ISP redirect pagina wordt vervangen door een valse DNS fout pagina. Andere toepassingen dan webbrowsers kunnen niet worden afgemeld voor de regeling met behulp van cookies als de opt-out alleen gericht is op het HTTP-protocol, wanneer de regeling daadwerkelijk is geïmplementeerd in het protocol-neutrale DNS-systeem.

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.