Apakah Keracunan DNS Cache?
Keracunan cache DNS, juga dikenali sebagai DNS spoofing, adalah sejenis serangan yang mengeksploitasi kerentanan dalam sistem nama domain (DNS) untuk mengalihkan trafik Internet dari server sah dan ke arah yang palsu.
Salah satu sebab keracunan DNS sangat berbahaya adalah kerana ia dapat merebak dari pelayan DNS ke pelayan DNS. Pada tahun 2010, peristiwa keracunan DNS menghasilkan Great Firewall China sementara melarikan diri dari sempadan negara China, menyensor Internet di Amerika Syarikat sehingga masalah itu tetap.
Bagaimana DNS berfungsi
Apabila komputer anda menghubungi nama domain seperti "google.com," ia mesti terlebih dahulu menghubungi pelayan DNSnya. Pelayan DNS bertindak balas dengan satu atau lebih alamat IP di mana komputer anda boleh mencapai google.com. Komputer anda kemudian menyambung terus ke alamat IP berangka itu. DNS menukar alamat yang boleh dibaca manusia seperti "google.com" ke alamat IP yang boleh dibaca komputer seperti "173.194.67.102".
- Baca Lagi: HTG Menjelaskan: Apa itu DNS?
Caching DNS
Internet tidak hanya mempunyai pelayan DNS tunggal, kerana itu akan menjadi sangat tidak cekap. Pembekal khidmat Internet anda menjalankan pelayan DNS sendiri, yang menyembunyikan maklumat dari pelayan DNS lain. Fungsi router rumah anda sebagai pelayan DNS, yang cache maklumat dari pelayan DNS ISP anda. Komputer anda mempunyai cache DNS tempatan, jadi dengan cepat boleh merujuk kepada pemerhatian DNS yang telah dilakukan dan tidak melakukan pemeriksaan DNS berulang kali.
Keracunan Cache DNS
Cache DNS boleh diracuni jika mengandungi entri yang salah. Sebagai contoh, jika penyerang menguasai pelayan DNS dan mengubah beberapa maklumat di atasnya - contohnya, mereka boleh mengatakan bahawa google.com sebenarnya menunjuk ke alamat IP yang diserang pemiliknya - pelayan DNS itu akan memberitahu penggunanya untuk melihat untuk Google.com di alamat yang salah. Alamat penyerang itu boleh mengandungi beberapa jenis laman web pemalsuan yang berniat jahat
Keracunan DNS seperti ini juga boleh tersebar. Contohnya, jika pelbagai penyedia perkhidmatan Internet mendapatkan maklumat DNS dari pelayan yang dikompromi, kemasukan DNS yang beracun akan tersebar ke penyedia perkhidmatan Internet dan akan di-cache di sana. Ia kemudian akan merebak ke penghala rumah dan cache DNS pada komputer kerana mereka mencari entri DNS, menerima tindak balas yang salah, dan menyimpannya.
Firewall Besar China Menyebar ke AS
Ini bukan sekadar masalah teori - ia telah berlaku di dunia nyata secara besar-besaran. Salah satu cara kerja Great Firewall China adalah melalui blocking di peringkat DNS. Sebagai contoh, sesebuah laman web yang disekat di China, seperti twitter.com, mungkin mempunyai rekod DNS menunjuk pada alamat yang tidak betul pada pelayan DNS di China. Ini akan menyebabkan Twitter tidak dapat diakses melalui cara biasa. Fikirkan ini kerana China secara sengaja meracun cache pelayan DNS sendiri.
Pada tahun 2010, pembekal perkhidmatan Internet di luar China tersalah mengonfigurasikan pelayan DNSnya untuk mendapatkan maklumat dari pelayan DNS di China. Ia mengambil rekod DNS yang tidak betul dari China dan menyembunyikannya pada pelayan DNS sendiri. Penyedia perkhidmatan Internet lain mengambil maklumat DNS daripada penyedia perkhidmatan Internet dan menggunakannya pada pelayan DNS mereka. Entri DNS yang beracun terus tersebar sehingga beberapa orang di Amerika Syarikat disekat dari mengakses Twitter, Facebook, dan YouTube pada penyedia perkhidmatan Internet Amerika mereka. The Great Firewall of China telah "bocor" di luar sempadan negaranya, menghalang orang dari tempat lain di dunia untuk mengakses laman web ini. Ini pada dasarnya berfungsi sebagai serangan keracunan DNS berskala besar. (Sumber.)
Penyelesaian
Sebab sebenar keracunan cache DNS adalah masalah semacam itu kerana tidak ada cara yang nyata untuk menentukan sama ada respons DNS yang anda terima benar-benar sah atau sama ada mereka telah dimanipulasi.
Penyelesaian jangka panjang untuk keracunan cache DNS adalah DNSSEC. DNSSEC akan membenarkan organisasi untuk menandatangani rekod DNS mereka menggunakan kriptografi utama awam, memastikan komputer anda akan mengetahui sama ada rekod DNS harus dipercayai atau sama ada ia diracuni dan diarahkan ke lokasi yang salah.
- Baca lebih lanjut: Bagaimana DNSSEC Akan Membantu Mengamankan Internet dan Bagaimana SOPA Hampir Memutuskan Ini Tidak Sah
Kredit Imej: Andrew Kuznetsov di Flickr, Jemimus di Flickr, NASA