jedną z funkcji serwera DNS jest tłumaczenie nazwy domeny na adres IP, który aplikacje muszą połączyć z zasobem internetowym, takim jak strona internetowa. Funkcjonalność ta jest zdefiniowana w różnych formalnych standardach internetowych, które definiują protokół w znacznym stopniu. Serwery DNS są domyślnie zaufane przez komputery i użytkowników internetowych, aby poprawnie określić nazwy rzeczywistych adresów zarejestrowanych przez właścicieli domen internetowych.

Rogue DNS serverEdit

nieuczciwy serwer DNS tłumaczy nazwy domen pożądanych stron internetowych (wyszukiwarek, banków, brokerów itp.) do adresów IP stron o niezamierzonej treści, nawet złośliwych witryn. Większość użytkowników zależy od serwerów DNS automatycznie przydzielanych przez dostawców usług internetowych. Komputery Zombie używają trojanów zmieniających DNS, aby niewidocznie przełączać automatyczne przydzielanie serwera DNS przez dostawcę usług internetowych na ręczne przydzielanie serwera DNS z nieuczciwych serwerów DNS. Przypisane serwery DNS routera mogą być również zmieniane poprzez zdalne wykorzystanie luki w oprogramowaniu sprzętowym routera. Gdy użytkownicy próbują odwiedzić strony internetowe, są wysyłani do fałszywej strony internetowej. Atak ten nazywany jest pharming. Jeśli strona, na którą są przekierowywane, jest złośliwą stroną internetową, udającą legalną stronę internetową, w celu oszukańczego uzyskania poufnych informacji, nazywa się to phishingiem.

manipulacja przez ISPsEdit

wielu konsumentów ISPs, takich jak AT&T, Cablevision ’ s Optimum Online, CenturyLink, Cox Communications, RCN, Rogers, Charter Communications (Spectrum), Plusnet, Verizon, Sprint, T-Mobile US, Virgin Media, Frontier Communications, Bell Sympatico, Deutsche Telekom AG, Optus, Mediacom, ONO, TalkTalk, Bigpond (Telstra), TTNET, Türksat i Telkom Indonesia wykorzystują lub wykorzystują DNS hijacking do własnych celów, takich jak wyświetlanie reklam lub zbieranie statystyk. Holenderscy dostawcy usług internetowych XS4ALL i Ziggo wykorzystują porwanie DNS na mocy nakazu sądowego: nakazano im zablokować dostęp do the Pirate Bay i zamiast tego wyświetlić stronę z ostrzeżeniem. Praktyki te naruszają standard RFC dla odpowiedzi DNS (NXDOMAIN)i mogą potencjalnie otworzyć użytkowników na ataki typu cross-site scripting.

problem z przejęciem DNS wiąże się z przejęciem odpowiedzi NXDOMAIN. Aplikacje internetowe i intranetowe polegają na odpowiedzi NXDOMAIN, aby opisać stan, w którym DNS nie ma wpisu dla określonego hosta. Jeśli ktoś zapyta o nieprawidłową nazwę domeny (na przykład www.przykład.invalid), należy uzyskać odpowiedź NXDOMAIN-informując aplikację o tym, że nazwa jest nieprawidłowa i podejmując odpowiednie działania (np. wyświetlając błąd lub nie próbując połączyć się z serwerem). Jeśli jednak nazwa domeny zostanie zapytana o jednego z tych niespełniających wymagań dostawców usług internetowych, zawsze otrzymamy fałszywy adres IP należący do dostawcy usług internetowych. W przeglądarce internetowej Takie zachowanie może być irytujące lub obraźliwe, ponieważ połączenia z tym adresem IP wyświetlają stronę przekierowania dostawcy usług internetowych, czasami z reklamą, zamiast właściwego komunikatu o błędzie. Jednak inne aplikacje, które polegają na błędzie NXDOMAIN, będą próbować inicjować połączenia z tym fałszywym adresem IP, potencjalnie ujawniając poufne informacje.

przykłady funkcjonalności, które psują się, gdy dostawca usług internetowych przejmuje DNS:

  • Roaming laptopy, które są członkami domeny Windows Server będą fałszywie prowadzić do przekonania, że są z powrotem w sieci korporacyjnej, ponieważ zasoby, takie jak kontrolery domen, serwery poczty e-mail i inna infrastruktura będą dostępne. Aplikacje będą zatem próbować inicjować połączenia z tymi serwerami firmowymi, ale nie powiedzie się, co spowoduje pogorszenie wydajności, niepotrzebny ruch w połączeniu internetowym i przekroczenie limitu czasu.
  • wiele małych sieci biurowych i domowych nie ma własnego serwera DNS, polegając zamiast tego NA rozdzielczości nazw transmisji. Wiele wersji systemu Microsoft Windows domyślnie priorytetyzuje rozdzielczość nazw DNS powyżej rozdzielczości nazw NetBIOS; w związku z tym, gdy serwer DNS ISP zwraca (technicznie poprawny) adres IP dla nazwy żądanego komputera w sieci LAN, Komputer łączący wykorzystuje ten nieprawidłowy adres IP i nieuchronnie nie łączy się z żądanym komputerem w sieci LAN. Obejścia obejmują użycie poprawnego adresu IP zamiast nazwy komputera lub zmianę wartości rejestru DhcpNodeType w celu zmiany kolejności usług rozwiązywania nazw.
  • przeglądarki takie jak Firefox nie mają już funkcji „Przeglądaj po nazwie” (gdzie słowa kluczowe wpisane w pasku adresu przenoszą użytkowników do najbliższej pasującej witryny).
  • lokalny klient DNS wbudowany w nowoczesne systemy operacyjne będzie buforował wyniki wyszukiwania DNS ze względu na wydajność. Jeśli klient przełącza się między siecią domową a VPN, fałszywe wpisy mogą pozostać w pamięci podręcznej, powodując awarię usługi w połączeniu VPN.
  • rozwiązania Antyspamowe DNSBL opierają się na DNS; fałszywe wyniki DNS zakłócają ich działanie.
  • poufne dane użytkownika mogą być wyciekane przez aplikacje, które są oszukiwane przez ISP, aby uwierzyć, że serwery, z którymi chcą się połączyć, są dostępne.
  • wybór przez użytkownika wyszukiwarki do sprawdzenia w przypadku nieprawidłowego wpisania adresu URL w przeglądarce jest usuwany, ponieważ dostawca usług internetowych określa, jakie wyniki wyszukiwania są wyświetlane użytkownikowi.
  • Komputery skonfigurowane do korzystania z tunelu dzielonego z połączeniem VPN przestaną działać, ponieważ nazwy intranetów, które nie powinny być rozwiązywane poza tunelem przez publiczny Internet, zaczną rozwiązywać fikcyjne adresy, zamiast poprawnie rozwiązywać je przez tunel VPN na prywatnym serwerze DNS, gdy odpowiedź NXDOMAIN zostanie odebrana z Internetu. Na przykład klient poczty próbujący rozwiązać rekord DNS a dla wewnętrznego serwera pocztowego może otrzymać fałszywą odpowiedź DNS, która skierowała go do serwera www z płatnymi wynikami, z wiadomościami ustawionymi w kolejce do dostarczenia przez kilka dni, podczas gdy retransmisja była próbowana na próżno.
  • łamie Web Proxy Autodiscovery Protocol (WPAD), prowadząc przeglądarki internetowe do przekonania nieprawidłowo, że ISP ma skonfigurowany serwer proxy.
  • psuje oprogramowanie monitorujące. Na przykład, jeśli okresowo kontaktuje się z serwerem w celu ustalenia jego stanu, monitor nigdy nie zauważy awarii, chyba że spróbuje zweryfikować klucz kryptograficzny serwera.

w niektórych, ale nie w większości przypadków, dostawcy usług internetowych zapewniają konfigurowane przez Abonenta ustawienia, aby wyłączyć przejmowanie odpowiedzi NXDOMAIN. Poprawnie zaimplementowane, takie ustawienie przywraca DNS do standardowego zachowania. Jednak inni dostawcy usług internetowych używają zamiast tego pliku cookie przeglądarki internetowej do przechowywania preferencji. W takim przypadku zachowanie bazowe nie zostanie rozwiązane: Zapytania DNS są nadal przekierowywane, a strona przekierowania dostawcy usług internetowych jest zastępowana fałszywą stroną błędu DNS. Aplikacje inne niż przeglądarki internetowe nie mogą zostać wyłączone ze schematu za pomocą Plików cookie, ponieważ opt-out jest skierowany wyłącznie do protokołu HTTP, gdy schemat jest faktycznie realizowany w neutralnym dla protokołu systemie DNS.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.