en av funktionerna på en DNS-server är att översätta ett domännamn till en IP-adress som applikationer behöver ansluta till en internetresurs som en webbplats. Denna funktionalitet definieras i olika formella Internetstandarder som definierar protokollet i stor detalj. DNS-servrar är implicit betrodda av datorer och användare som står inför internet för att korrekt lösa namn till de faktiska adresserna som är registrerade av ägarna till en internetdomän.

Rogue DNS serverEdit

en rogue DNS-server översätter domännamn önskvärda webbplatser (sökmotorer, banker, mäklare, etc.) i IP-adresser till webbplatser med oavsiktligt innehåll, även skadliga webbplatser. De flesta användare är beroende av DNS-servrar som automatiskt tilldelas av sina Internetleverantörer. Zombie-datorer använder DNS-växlande trojaner för att osynligt växla den automatiska DNS-servertilldelningen från Internetleverantören till manuell DNS-servertilldelning från oseriösa DNS-servrar. En routers tilldelade DNS-servrar kan också ändras genom fjärrutnyttjande av en sårbarhet i routerns firmware. När användare försöker besöka webbplatser skickas de istället till en falsk webbplats. Denna attack kallas pharming. Om webbplatsen de omdirigeras till är en skadlig webbplats, maskerad som en legitim webbplats, för att bedrägligt få känslig information kallas den phishing.

Manipulation av ISPsEdit

ett antal konsument Internetleverantörer som AT &T, Cablevisions Optimum Online, CenturyLink, Cox Communications, RCN, Rogers, Charter Communications (Spectrum), Plusnet, Verizon, Sprint, T-Mobile USA, Virgin Media, Frontier Communications, Bell Sympatico, Deutsche Telekom AG, Optus, Mediacom, ONO, TalkTalk, Bigpond (Telstra), TTNET, t excepirksat och Telkom Indonesia använder eller använder DNS-kapning för sina egna ändamål, till exempel Att visa annonser eller samla in statistik. Holländska Internetleverantörer XS4ALL och Ziggo använder DNS-kapning genom domstolsbeslut: de beordrades att blockera åtkomst till the Pirate Bay och visa en varningssida istället. Dessa metoder bryter mot RFC-standarden för DNS-svar (NXDOMAIN) och kan potentiellt öppna användare för serveröverskridande skriptattacker.

problemet med DNS-kapning innebär denna kapning av NXDOMAIN-svaret. Internet-och intranätprogram är beroende av NXDOMAIN-svaret för att beskriva tillståndet där DNS inte har någon post för den angivna värden. Om man skulle fråga det ogiltiga domännamnet (till exempel www.exempel.ogiltig), bör man få ett NXDOMAIN-svar-informera programmet om att namnet är ogiltigt och vidta lämpliga åtgärder (till exempel visa ett fel eller inte försöka ansluta till servern). Men om domännamnet frågas på en av dessa icke-kompatibla Internetleverantörer, skulle man alltid få en falsk IP-adress som tillhör Internetleverantören. I en webbläsare kan detta beteende vara irriterande eller stötande eftersom anslutningar till denna IP-adress visar leverantörens ISP-omdirigeringssida, ibland med reklam, istället för ett korrekt felmeddelande. Men andra program som är beroende av NXDOMAIN-felet försöker istället initiera anslutningar till den här falska IP-adressen, vilket potentiellt exponerar känslig information.

exempel på funktionalitet som bryts när en ISP kapar DNS:

  • Roaming bärbara datorer som är medlemmar i en Windows Server-domän kommer felaktigt att ledas att tro att de är tillbaka på ett företagsnätverk eftersom resurser som domänkontrollanter, e-postservrar och annan infrastruktur verkar vara tillgängliga. Applikationer kommer därför att försöka initiera anslutningar till dessa företagsservrar, men misslyckas, vilket resulterar i försämrad prestanda, onödig trafik på Internetanslutningen och timeout.
  • många små kontors-och hemnätverk har inte sin egen DNS-server, utan förlitar sig istället på upplösning av sändningsnamn. Många versioner av Microsoft Windows som standard prioriterar DNS-namnupplösning över NetBIOS – namnupplösningssändningar; därför, när en ISP DNS-server returnerar en (tekniskt giltig) IP-adress för namnet på den önskade datorn på LAN, använder den anslutande datorn denna felaktiga IP-adress och oundvikligen misslyckas med att ansluta till önskad dator på LAN. Lösningar inkluderar att använda rätt IP-adress istället för datornamnet eller ändra DhcpNodeType-registervärdet för att ändra namnupplösningstjänst.
  • webbläsare som Firefox har inte längre funktionen ’Bläddra efter namn’ (där nyckelord som skrivs i adressfältet tar användare till närmaste matchande webbplats).
  • den lokala DNS-klienten inbyggd i moderna operativsystem kommer att cacha resultat av DNS-sökningar av prestandaskäl. Om en klient växlar mellan ett hemnätverk och en VPN kan falska poster förbli cachade och därmed skapa ett serviceavbrott på VPN-anslutningen.
  • DNSBL anti-spam-lösningar är beroende av DNS; falska DNS-resultat stör därför deras funktion.
  • konfidentiella användardata kan läckas av applikationer som luras av Internetleverantören att tro att servrarna de vill ansluta till är tillgängliga.
  • användarval över vilken sökmotor som ska konsulteras om en URL skrivs fel i en webbläsare tas bort eftersom Internetleverantören bestämmer vilka sökresultat som visas för användaren.
  • datorer som konfigurerats för att använda en delad tunnel med en VPN-anslutning slutar fungera eftersom intranätnamn som inte ska lösas utanför tunneln över det offentliga Internet börjar lösa till fiktiva adresser, istället för att lösa korrekt över VPN-tunneln på en privat DNS-server när ett NXDOMAIN-svar tas emot från Internet. Till exempel kan en e-postklient som försöker lösa DNS en post för en intern e-postserver få ett falskt DNS-svar som riktade det till en webbserver med betalda resultat, med meddelanden i kö för leverans i flera dagar medan återutsändning försökte förgäves.
  • det bryter Web Proxy Autodiscovery Protocol (WPAD) genom att leda webbläsare att tro felaktigt att internetleverantören har en proxyserver konfigurerad.
  • det bryter övervakning programvara. Till exempel, om man regelbundet kontaktar en server för att bestämma dess hälsa, kommer en bildskärm aldrig att se ett fel om inte monitorn försöker verifiera serverns kryptografiska nyckel.

i vissa, men inte de flesta fall, tillhandahåller Internetleverantörerna abonnentkonfigurerbara inställningar för att inaktivera kapning av NXDOMAIN-svar. Korrekt implementerad återgår en sådan inställning DNS till standardbeteende. Andra Internetleverantörer använder dock istället en webbläsarcookie för att lagra preferensen. I det här fallet löses inte det underliggande beteendet: DNS-frågor fortsätter att omdirigeras, medan ISP-omdirigeringssidan ersätts med en förfalskad DNS-felsida. Andra applikationer än webbläsare kan inte väljas bort från systemet med hjälp av cookies eftersom opt-out endast riktar sig till HTTP-protokollet, när systemet faktiskt implementeras i det protokollneutrala DNS-systemet.

Lämna ett svar

Din e-postadress kommer inte publiceras.