DNS Cache Poisoning คืออะไร
DNS cache poisoning หรือที่รู้จักกันในนาม DNS spoofing เป็นประเภทของการโจมตีที่หาช่องโหว่ในระบบชื่อโดเมน (DNS) เพื่อเบี่ยงเบนการรับส่งข้อมูลทางอินเทอร์เน็ตจากเซิร์ฟเวอร์ที่ถูกกฎหมายและไปสู่การปลอมแปลง.
สาเหตุหนึ่งที่การวางยา DNS เป็นอันตรายนั้นเป็นเพราะมันสามารถแพร่กระจายจากเซิร์ฟเวอร์ DNS ไปยังเซิร์ฟเวอร์ DNS ในปี 2010 เหตุการณ์การวางยาพิษ DNS ส่งผลให้เกิด Great Firewall of China ชั่วคราวเพื่อหลบหนีออกจากชายแดนประเทศจีนและปิดกั้นการใช้อินเทอร์เน็ตในประเทศสหรัฐอเมริกาจนกว่าปัญหาจะได้รับการแก้ไข.
DNS ทำงานอย่างไร
เมื่อใดก็ตามที่คอมพิวเตอร์ของคุณติดต่อชื่อโดเมนเช่น "google.com" นั้นจะต้องติดต่อกับเซิร์ฟเวอร์ DNS ก่อน เซิร์ฟเวอร์ DNS ตอบสนองด้วยที่อยู่ IP อย่างน้อยหนึ่งที่คอมพิวเตอร์ของคุณสามารถเข้าถึง google.com คอมพิวเตอร์ของคุณเชื่อมต่อโดยตรงกับที่อยู่ IP ตัวเลข DNS แปลงที่อยู่ที่มนุษย์อ่านได้เช่น“ google.com” เป็นที่อยู่ IP ที่คอมพิวเตอร์อ่านได้เช่น“ 173.194.67.102”.
- อ่านเพิ่มเติม: HTG อธิบาย: DNS คืออะไร?
การแคช DNS
อินเทอร์เน็ตไม่ได้มีเพียงเซิร์ฟเวอร์ DNS เดียวเพราะมันไม่มีประสิทธิภาพอย่างยิ่ง ผู้ให้บริการอินเทอร์เน็ตของคุณเรียกใช้เซิร์ฟเวอร์ DNS ของตัวเองซึ่งข้อมูลแคชจากเซิร์ฟเวอร์ DNS อื่น ๆ เราเตอร์ในบ้านของคุณทำหน้าที่เป็นเซิร์ฟเวอร์ DNS ซึ่งเก็บข้อมูลจากเซิร์ฟเวอร์ DNS ของ ISP ของคุณ คอมพิวเตอร์ของคุณมีแคช DNS ในเครื่องดังนั้นจึงสามารถอ้างถึงการค้นหา DNS ที่ดำเนินการอยู่อย่างรวดเร็วแทนที่จะทำการค้นหา DNS ซ้ำแล้วซ้ำอีก.
DNS Cache Poisoning
แคช DNS อาจกลายเป็นพิษหากมีรายการที่ไม่ถูกต้อง ตัวอย่างเช่นหากผู้โจมตีได้รับการควบคุมเซิร์ฟเวอร์ DNS และเปลี่ยนแปลงข้อมูลบางอย่างในนั้น - ตัวอย่างเช่นพวกเขาอาจกล่าวได้ว่า google.com ชี้ไปยังที่อยู่ IP ที่ผู้โจมตีเป็นเจ้าของจริง - เซิร์ฟเวอร์ DNS นั้นจะบอกให้ผู้ใช้มองหา สำหรับ Google.com ในที่อยู่ผิด ที่อยู่ของผู้โจมตีอาจมีเว็บไซต์ฟิชชิงที่เป็นอันตรายอยู่บ้าง
DNS ที่เป็นพิษเช่นนี้สามารถแพร่กระจายได้ ตัวอย่างเช่นหากผู้ให้บริการอินเทอร์เน็ตหลายรายกำลังรับข้อมูล DNS จากเซิร์ฟเวอร์ที่ถูกบุกรุกรายการ DNS ที่เป็นพิษจะแพร่กระจายไปยังผู้ให้บริการอินเทอร์เน็ตและถูกแคชไว้ที่นั่น จากนั้นจะกระจายไปยังเราเตอร์ในบ้านและ DNS แคชในคอมพิวเตอร์เมื่อค้นหารายการ DNS รับการตอบกลับที่ไม่ถูกต้องและเก็บไว้.
ไฟร์วอลล์ที่ยิ่งใหญ่ของจีนแพร่กระจายไปยังสหรัฐอเมริกา
นี่ไม่ใช่แค่ปัญหาเชิงทฤษฎี แต่เกิดขึ้นในโลกแห่งความเป็นจริงในวงกว้าง หนึ่งในวิธีการทำงานที่ยอดเยี่ยมของไฟร์วอลล์ของจีนคือการปิดกั้นที่ระดับ DNS ตัวอย่างเช่นเว็บไซต์ที่ถูกบล็อกในประเทศจีนเช่น twitter.com อาจมีระเบียน DNS ที่ชี้ไปยังที่อยู่ที่ไม่ถูกต้องบนเซิร์ฟเวอร์ DNS ในประเทศจีน ซึ่งจะส่งผลให้ Twitter ไม่สามารถเข้าถึงได้ด้วยวิธีการปกติ คิดว่าสิ่งนี้เป็นเพราะจีนจงใจวางยาแคชเซิร์ฟเวอร์ DNS ของตัวเอง.
ในปี 2010 ผู้ให้บริการอินเทอร์เน็ตนอกประเทศจีนกำหนดค่าเซิร์ฟเวอร์ DNS ของตนเพื่อดึงข้อมูลจากเซิร์ฟเวอร์ DNS ในประเทศจีนโดยไม่ตั้งใจ มันดึงระเบียน DNS ที่ไม่ถูกต้องจากประเทศจีนและแคชไว้ในเซิร์ฟเวอร์ DNS ของตัวเอง ผู้ให้บริการอินเทอร์เน็ตรายอื่นดึงข้อมูล DNS จากผู้ให้บริการอินเทอร์เน็ตนั้นและใช้ข้อมูลนั้นบนเซิร์ฟเวอร์ DNS ของพวกเขา รายการ DNS ที่เป็นพิษยังคงแพร่กระจายต่อไปจนกระทั่งบางคนในสหรัฐอเมริกาถูกบล็อกไม่ให้เข้าถึง Twitter, Facebook และ YouTube จากผู้ให้บริการอินเทอร์เน็ตในอเมริกา ไฟร์วอลล์อันยิ่งใหญ่ของจีน“ รั่วไหล” นอกเขตแดนของประเทศทำให้ผู้คนจากที่อื่น ๆ ในโลกไม่สามารถเข้าถึงเว็บไซต์เหล่านี้ได้ สิ่งนี้ทำหน้าที่เสมือนเป็นการโจมตี DNS เป็นพิษขนาดใหญ่ (ที่มา.)
การแก้ไขปัญหา
สาเหตุที่แท้จริงของ DNS cache poisoning เป็นปัญหาเช่นนี้เนื่องจากไม่มีวิธีการที่แท้จริงในการพิจารณาว่าการตอบสนอง DNS ที่คุณได้รับนั้นถูกต้องตามกฎหมายหรือไม่.
การแก้ปัญหาระยะยาวสำหรับการวางยาพิษ DNS cache คือ DNSSEC DNSSEC จะอนุญาตให้องค์กรลงนามระเบียน DNS ของพวกเขาโดยใช้การเข้ารหัสลับแบบสาธารณะทำให้มั่นใจได้ว่าคอมพิวเตอร์ของคุณจะรู้ว่าระเบียน DNS ควรเชื่อถือได้หรือไม่และถูกวางยาพิษหรือไม่และถูกเปลี่ยนเส้นทางไปยังตำแหน่งที่ไม่ถูกต้อง.
- อ่านเพิ่มเติม: DNSSEC จะช่วยรักษาความปลอดภัยให้กับอินเทอร์เน็ตได้อย่างไรและ SOPA เกือบจะทำให้เป็นสิ่งผิดกฎหมายได้อย่างไร
เครดิตรูป: Andrew Kuznetsov บน Flickr, Jemimus บน Flickr, NASA
