Отравление DNS существует уже давно. DNS используется для сопоставления доменных имен, например «education.io», с IP-адресом, например «192.168.1.1». Затем компьютер подключается к IP-адресу и посещает веб-сайт.
Интернет работает на нескольких DNS-серверах, которые кэшируют информацию друг от друга. Кэширование избавляет DNS от многократного поиска одних и тех же веб-страниц. Эти кеши поддерживаются в течение определенного времени, которое соответствует полю время жизни внутри самих себя.
Кеш DNS становится отравленным, когда сервер содержит недопустимое значение. Если злоумышленник аутентифицирован на DNS-сервере, он может изменить значения нескольких доменов, чтобы они указывали на ложный IP-адрес. Отравление DNS также может быть выполнено классическим человеком в средней атаке, когда хакер перехватывает передаваемые пакеты и отправляет ответ, как показано на иллюстрации.
Этот IP-адрес указывает на официальный веб-сайт и, следовательно, может использоваться для фишинговых атак; или он может указывать на веб-сайт, который устанавливает вредоносное программное обеспечение на компьютер пользователя без его ведома.
В следующий раз, когда пользователь попытается посетить какой-либо официальный веб-сайт, такой как «educationative.io», они будут будет направлен DNS на ложный IP-адрес и, следовательно, станет жертвой.
DNS отравление чрезвычайно опасно, так как оно быстро распространяется. Если несколько DNS-серверов получают свою информацию от взломанного DNS, все они будут иметь мошенническую веб-страницу и, следовательно, все станут жертвой.
Предотвращение
-
Используйте DNSSEC, который обеспечивает лучший и более безопасный маршрут для DNS-сервера для запроса авторитетного сервера имен. Он использует шифрование, чтобы гарантировать, что DNS рассматривает наиболее точные данные.
-
Уменьшите время существования полей. Уменьшенный TTL гарантирует, что даже если каким-то образом произойдет заражение DNS, время, в течение которого затронутые записи остаются в DNS, сокращается.
