Wat is DNS Cache Poisoning?
DNS cache poisoning, ook wel bekend als DNS-spoofing, is een aanval die kwetsbaarheden in het domeinnaamsysteem (DNS) misbruikt om internetverkeer weg te leiden van legitieme servers naar nep-computers.
Een van de redenen waarom DNS-vergiftiging zo gevaarlijk is, is omdat het zich kan verspreiden van DNS-server naar DNS-server. In 2010 zorgde een DNS-vergiftigingsgebeurtenis ervoor dat de Grote Firewall van China tijdelijk aan de nationale grenzen van China ontsnapte en het internet in de VS censureerde tot het probleem was verholpen.
Hoe DNS werkt
Wanneer uw computer contact maakt met een domeinnaam zoals 'google.com', moet deze eerst contact opnemen met de DNS-server. De DNS-server antwoordt met een of meer IP-adressen waar uw computer google.com kan bereiken. Uw computer maakt dan rechtstreeks verbinding met dat numerieke IP-adres. DNS converteert door mensen leesbare adressen zoals "google.com" naar computerleesbare IP-adressen zoals "173.194.67.102".
- Lees meer: HTG legt uit: Wat is DNS?
DNS-caching
Het internet heeft niet slechts één DNS-server, maar dat zou uiterst inefficiënt zijn. Uw internetserviceprovider voert zijn eigen DNS-servers uit, die informatie van andere DNS-servers cachen. Uw thuisrouter functioneert als een DNS-server, die informatie van de DNS-servers van uw internetprovider in de cache opslaat. Uw computer heeft een lokale DNS-cache, zodat u snel kunt verwijzen naar DNS-lookups die al zijn uitgevoerd in plaats van steeds opnieuw een DNS-lookup uit te voeren.
DNS cache vergiftiging
Een DNS-cache kan vergiftigd raken als deze een onjuiste invoer bevat. Als een aanvaller bijvoorbeeld de controle krijgt over een DNS-server en een deel van de informatie daarop wijzigt, kunnen ze bijvoorbeeld zeggen dat google.com feitelijk verwijst naar een IP-adres dat de aanvaller bezit - die DNS-server zou de gebruikers vertellen dat ze moeten zoeken voor Google.com op het verkeerde adres. Het adres van de aanvaller kan een soort kwaadwillende phishing-website bevatten
DNS-vergiftiging als deze kan zich ook verspreiden. Als bijvoorbeeld verschillende internetproviders hun DNS-informatie van de gehackte server ontvangen, wordt het vergiftigde DNS-item doorgegeven aan de internetserviceproviders en daar in de cache opgeslagen. Het verspreidt zich vervolgens naar thuisrouters en de DNS-caches op computers terwijl ze de DNS-invoer opzoeken, het onjuiste antwoord ontvangen en opslaan.
De grote firewall van China verspreidt zich naar de VS.
Dit is niet alleen een theoretisch probleem - het is op grote schaal gebeurd in de echte wereld. Een van de manieren waarop China's Great Firewall werkt, is door te blokkeren op DNS-niveau. Een website die geblokkeerd is in China, zoals twitter.com, kan bijvoorbeeld zijn DNS-records laten verwijzen naar een onjuist adres op DNS-servers in China. Dit zou ertoe leiden dat Twitter op de normale manier ontoegankelijk is. Zie dit als China opzettelijk zijn eigen DNS-servercaches vergiftigt.
In 2010 heeft een internetprovider buiten China zijn DNS-servers verkeerd geconfigureerd om informatie op te halen van DNS-servers in China. Het heeft de onjuiste DNS-records opgehaald uit China en in de cache opgeslagen op zijn eigen DNS-servers. Andere internetserviceproviders haalden DNS-informatie bij die internetserviceprovider en gebruikten deze op hun DNS-servers. De vergiftigde DNS-vermeldingen bleven zich verspreiden totdat sommige mensen in de VS geblokkeerd waren voor toegang tot Twitter, Facebook en YouTube op hun Amerikaanse internetproviders. De grote firewall van China is buiten zijn nationale grenzen 'gelekt', waardoor mensen van elders in de wereld geen toegang hebben tot deze websites. Dit werkte in wezen als een grootschalige DNS-vergiftigingsaanval. (Bron.)
De oplossing
De echte reden waarom DNS-cache-vergiftiging zo'n probleem is, is omdat er geen echte manier is om te bepalen of DNS-reacties die u ontvangt, echt legitiem zijn of dat ze zijn gemanipuleerd.
De langetermijnoplossing voor DNS-cache-vergiftiging is DNSSEC. DNSSEC biedt organisaties de mogelijkheid om hun DNS-records te ondertekenen met behulp van cryptografie met openbare sleutels, zodat uw computer weet of een DNS-record moet worden vertrouwd of dat deze is vergiftigd en wordt omgeleid naar een onjuiste locatie.
- Lees meer: Hoe DNSSEC zal helpen het internet te beveiligen en hoe SOPA het bijna illegaal heeft gemaakt
Image Credit: Andrew Kuznetsov op Flickr, Jemimus op Flickr, NASA