Què és l'enverinament de la memòria cau de DNS?
L’enverinament de la memòria cau de DNS, també conegut com a spoofing de DNS, és un tipus d’atac que explota les vulnerabilitats del sistema de noms de domini (DNS) per desviar el trànsit d’Internet dels servidors legítims i cap als falsos.
Un dels motius pels quals la intoxicació per DNS és tan perillosa és que es pot transmetre des del servidor DNS al servidor DNS. El 2010, un esdeveniment d’intoxicació per DNS va provocar que el Gran Tallafoc de la Xina escapés temporalment de les fronteres nacionals de la Xina, censurant Internet als EUA fins que es resolgués el problema.
Com funciona el DNS
Sempre que el vostre equip contacta amb un nom de domini com "google.com", primer ha de contactar amb el seu servidor DNS. El servidor DNS respon amb una o més adreces IP on l’ordinador pot accedir a google.com. L'ordinador es connecta directament a aquesta adreça IP numèrica. DNS converteix adreces llegibles per humans com "google.com" a adreces IP llegibles per ordinador com "173.194.67.102".
- Llegiu-ne més: HTG explica: Què és el DNS?
Memòria cau de DNS
Internet no només té un servidor DNS únic, ja que seria extremadament ineficient. El vostre proveïdor de serveis d'Internet gestiona els seus propis servidors DNS, que emmagatzemen la informació d'altres servidors DNS. El vostre encaminador domèstic funciona com un servidor DNS, que emmagatzema a la memòria cau la informació dels servidors DNS del vostre ISP. L’ordinador té una memòria cau de DNS local, de manera que pot referir-se ràpidament a les cerques de DNS que ja s’ha realitzat en lloc de fer una cerca de DNS una vegada i una altra.
Intoxicació a la memòria cau de DNS
Una memòria cau de DNS es pot enverinar si conté una entrada incorrecta. Per exemple, si un atacant aconsegueix el control d’un servidor DNS i canvia part de la informació que conté (per exemple, es podria dir que google.com en realitat apunta a una adreça IP que té l’atacant), el servidor DNS diria als seus usuaris que busquin per a Google.com amb una adreça incorrecta. L'adreça de l'atacant podria contenir algun tipus de lloc web de pesca maliciós
També es pot propagar una intoxicació DNS com aquesta. Per exemple, si diversos proveïdors de serveis d'Internet obtenen la informació DNS del servidor compromès, l'entrada de DNS enverinat s'estendrà als proveïdors de serveis d'Internet i s'emmagatzemarà allà a la memòria cau. A continuació, s’estendrà als encaminadors domèstics i a les memòries cau de DNS dels ordinadors mentre cerquen l’entrada DNS, reben la resposta incorrecta i l’emmagatzemen.
El gran tallafoc de la Xina s’estén als EUA
Aquest no és només un problema teòric: ha passat al món real a gran escala. Una de les maneres en què funciona el gran tallafoc de la Xina és mitjançant el bloqueig a nivell DNS. Per exemple, un lloc web bloquejat a la Xina, com twitter.com, pot tenir els registres DNS apuntats a una adreça incorrecta als servidors DNS de la Xina. Això provocaria que Twitter fos inaccessible per mitjans normals. Penseu en això com la Xina enverina intencionadament les seves memòries cache del servidor DNS.
El 2010, un proveïdor de serveis d'Internet fora de la Xina va configurar erròniament els seus servidors DNS per obtenir informació dels servidors DNS de la Xina. Va obtenir els registres DNS incorrectes de la Xina i els va emmagatzemar a la memòria cau als seus propis servidors DNS. Altres proveïdors de serveis d'Internet van obtenir informació DNS d'aquest proveïdor de serveis d'Internet i la van utilitzar als seus servidors DNS. Les entrades DNS enverinades van continuar estenent-se fins que es va impedir a algunes persones dels EUA l'accés a Twitter, Facebook i YouTube als seus proveïdors de serveis d'Internet nord-americans. El Gran Tallafoc de la Xina havia "filtrat" fora de les seves fronteres nacionals, cosa que impedia que persones d'altres llocs del món poguessin accedir a aquests llocs web. Això va funcionar essencialment com un atac d'enverinament DNS a gran escala. (Font.)
La solució
La veritable raó per la qual l’enverinament de la memòria cau de DNS és aquest problema és que no hi ha cap manera real de determinar si les respostes DNS que rebeu són realment legítimes o si s’han manipulat.
La solució a llarg termini per a la intoxicació de la memòria cau de DNS és DNSSEC. DNSSEC permetrà a les organitzacions signar els seus registres DNS mitjançant criptografia de clau pública, garantint que el vostre equip sabrà si s’ha de confiar en un registre DNS o si s’ha enverinat i redirigeix a una ubicació incorrecta.
- Llegiu-ne més: com DNSSEC ajudarà a protegir Internet i com SOPA el fa gairebé il·legal
Crèdit de la imatge: Andrew Kuznetsov a Flickr, Jemimus a Flickr, NASA