cache poisoning dns

Când DNS-server primește date neautentice și le memorează în cache pentru a optimiza performanța, devine otrăvitoare și începe să furnizeze date neautentice clienților săi.

De obicei, computerul în rețea utilizează DNS-server furnizat de către furnizorul de organizație sau de servicii Internet. DNS-servere sunt adesea instalate într-o rețea de organizații pentru a accelera procesul de traducere, utilizând memoria cache numele primit anterior răspunsuri la solicitări. Atacul asupra DNS-server poate afecta performanța utilizatorilor acest server, sau chiar pe utilizatorii de alte servere cu referire la otrăvire.

O solicitare din partea DNS-Server victimei: Ce este înregistrarea A pentru subdomain.attacker.example?

Substituirea NS-record pentru o altă victimă domeniu

Interogare DNS-server: Care este înregistrarea A pentru subdomain.attacker.example?

Serverul nu salvează victima legată de a solicita informații cu privire la NS-înregistrare pentru target.example în cache-ul, care permite atacatorului să răspundă la solicitări suplimentare pentru tot domeniul target.example.

Atacurile prevenirea și contra

Multe atacuri asupra cache-ul poate fi prevenit pe partea de DNS-servere prin reducerea credibilității informațiilor care provin din alte DNS-servere, sau chiar ignorând orice DNS-înregistrările care nu sunt direct legate de cerere. De exemplu, versiunile recente ale BIND (versiunea 9, 10) operează o astfel de verificare. În mod semnificativ reduce probabilitatea unui atac de succes pe cache-ul poate utiliza aleatoare UDP-porturi pentru a efectua DNS-cereri.

Atacurile asupra cache-ul și poate fi în contrast cu stratul de transport al modelului OSI, sau la nivel de aplicație. și deoarece semnăturile digitale pot fi folosite la aceste niveluri. De exemplu, în versiunea securizată a HTTP - HTTPS utilizatorul poate verifica dacă serverul la care este conectat, certificatul semnătura și căreia îi aparține certificatul. Un nivel similar de securitate este SSH, atunci când programul client verifică semnătura digitală a serverului la distanță la stabilirea unei conexiuni. Conexiunea prin IPSEC nu va fi stabilită în cazul în care clientul și serverul nu va fi cunoscut în prealabil adus împotriva chei EDS. Aplicațiile care se încarcă în mod automat actualizările lor, poate fi construit certificatul semnăturii și a autentifica actualizarea prin compararea serverul de actualizare a semnăturilor cu certificat încorporat.