Únos DNS

Aktuální verze stránky ještě nebyla zkontrolována zkušenými přispěvateli a může se výrazně lišit od verze recenzované 11. prosince 2019; kontroly vyžadují 3 úpravy .

DNS hijacking – podkopávání rozlišení DNS dotazů. Toho lze dosáhnout použitím malwaru , který přepíše konfiguraci TCP/IP počítače tak, aby byly dotazy odesílány na server DNS útočníka , nebo změnou chování důvěryhodného serveru DNS tak, aby neodpovídal internetovým standardům. Tyto změny mohou být provedeny pro škodlivé účely, jako je phishing, nebo pro sobecké účely poskytovateli internetových služeb ( ISP ), kteří přesměrovávají webový provoz uživatele na jejich vlastní webové servery pro zobrazování reklam, shromažďování statistik nebo pro jiné účely poskytovatele; a poskytovatelé služeb DNS blokovat přístup k vybraným doménám formou cenzury.

Technická odbočka

Jednou z funkcí serveru DNS je překládat názvy domén na adresy IP , které jsou nutné pro připojení k internetovému zdroji, jako je webová stránka . Tato funkcionalita je definována v různých oficiálních internetových standardech, které definují protokol dostatečně podrobně. Počítače připojené k Internetu důvěřují serverům DNS, že správně překládají názvy na skutečné adresy registrované vlastníky internetových domén.

Nečestné DNS servery

Nečestný DNS server překládá názvy domén dotazovaných webových stránek ( vyhledávače , banky atd.) na IP adresy webových stránek s nepředvídatelným obsahem, dokonce i škodlivých webových stránek. Většině uživatelů jsou servery DNS přidělovány automaticky jejich ISP. Zombie počítače spouštějí trojské koně, které tiše mění adresu automaticky přiděleného serveru DNS poskytovatelem internetových služeb na podvodný server DNS. Když se uživatelé pokusí navštívit webové stránky, skončí na falešném webu. Takový útok se nazývá farmaření . Pokud se škodlivý web, na který jsou přesměrovány požadavky, vydávající se za legitimní web, pokusí podvodně získat přístup k důvěrným informacím, nazývá se to phishing .

Manipulace s poskytovatelem

Někteří poskytovatelé, jako je OpenDNS , Cablevision's Optimum Online, Comcast , Time Warner, Cox Communications, RCN, Rogers, Charter Communications, Verizon, Virgin Media , Frontier Communications, Bell Sympatico, UPC, T-Online , Optus, Mediacom, ONO, TalkTalk a Bigpond ( Telstra ) používají přesměrování DNS pro své vlastní účely, jako je zobrazování reklam nebo shromažďování statistik. To porušuje standardy RFC pro odpovědi DNS (NXDOMAIN) a může vystavit uživatele skriptování mezi weby . Přesměrování DNS zahrnuje úpravu odpovědi NXDOMAIN. Internetové a intranetové aplikace spoléhají na odpověď NXDOMAIN při popisu stavu, kdy DNS nemá záznam pro zadaného hostitele. Pokud jsme požadovali neexistující název domény (fakeexample.com), měli bychom obdržet odpověď NXDOMAIN informující aplikaci, že název je neplatný, a způsobit odpovídající akci (například zobrazení chyby nebo odmítnutí připojení k serveru). Pokud je tedy u jednoho z těchto neexistujících poskytovatelů požadován název domény, můžete získat falešnou IP adresu poskytovatele. Ve webovém prohlížeči může být toto chování nepříjemné nebo urážlivé, když se při připojení k této IP adrese místo správné chybové zprávy zobrazí stránka přesměrování poskytovatele, někdy s reklamami. Jiné aplikace, které spoléhají na chybu NXDOMAIN, se však místo toho pokusí iniciovat připojení k této podvržené IP adrese, čímž potenciálně odhalí citlivé informace.

Příklady funkcí, které chybí, pokud poskytovatelé internetových služeb přesměrovávají DNS:

Směrované přenosné počítače, které jsou členy domény Windows Server, mylně předpokládají, že se vrátily do podnikové sítě, protože jsou k dispozici prostředky, jako jsou řadiče domény, e-mailové servery a další infrastruktura. Aplikace se pokoušejí iniciovat připojení k těmto podnikovým serverům, ale selžou, což vede ke snížení výkonu, zbytečnému internetovému provozu a časovým limitům.
Mnoho malých kanceláří a většina domácích sítí nemá svůj vlastní server DNS a místo toho se spoléhá na překlad názvů vysílání. Vzhledem k tomu, že požadavky DNS mají přednost před místním vysíláním, všechna jména se falešně přeloží na servery vlastněné poskytovatelem internetových služeb a místní síť nebude fungovat.
Prohlížeče jako Firefox nebudou moci „vyhledávat podle jména“ (když vás klíčová slova zadaná do adresního řádku přesměrují na nejbližší nalezený web).
Lokální klient DNS zabudovaný do moderních operačních systémů uloží výsledky vyhledávání DNS do mezipaměti, aby se zlepšil výkon. Pokud klient přepne mezi domácí sítí a VPN , mohou v mezipaměti zůstat falešné záznamy, což způsobí přerušení služby připojení VPN.
Antispamová řešení DNSBL jsou založena na DNS; proto falešné výsledky DNS brání správnému fungování DNSBL.
Citlivá data uživatele mohou být odhalena aplikací, která je poskytovatelem internetových služeb uvedena v omyl, aby se domníval, že služba, ke které se pokouší připojit, je dostupná.
Vyhledávač nebude schopen opravit chybně zadané adresy URL na základě předchozích voleb uživatele, protože poskytovatel určuje, které výsledky vyhledávání se uživateli zobrazí; aplikace, jako je lišta Google Toolbar , nebudou moci správně fungovat.
Počítače nakonfigurované pro použití rozděleného tunelování s připojením VPN přestanou fungovat, protože intranetové názvy, které by neměly být překládány mimo tunel na veřejném internetu, se při načítání serveru přeloží na falešné adresy namísto správného překladu prostřednictvím tunelu VPN na soukromém serveru DNS. Záznam NXDOMAIN z internetu. Například poštovní klient, který se pokouší přeložit záznam DNS typu A pro interní poštovní server, může obdržet falešnou odpověď DNS, která v případě neúspěšného opětovného přenosu přesměruje na placený webový server s frontou doručení.
To narušuje protokol WPAP (Proxy Automatic Configuration Protocol) tím, že webové prohlížeče se mylně domnívají, že ISP má konfiguraci proxy.
To narušuje řídicí software. Pokud například pravidelně přistupujeme k serveru za účelem kontroly zdravého rozumu, monitor si nevšimne padělku, dokud se nepokusí ověřit kryptografický klíč serveru.

V některých případech poskytovatelé poskytují nastavení konfigurovatelná předplatitelem, aby zabránili modifikaci odpovědí NXDOMAIN. Správně implementovaná taková nastavení vrátí DNS ke standardnímu chování. Jiní poskytovatelé však místo toho používají soubory cookie webového prohlížeče k ukládání preferencí. V tomto případě nebude problém správného chování vyřešen: požadavky DNS budou nadále přesměrovány a stránka přesměrování poskytovatele bude nahrazena falešnými chybovými zprávami DNS. Jiné aplikace než webové prohlížeče nelze ze schématu používání souborů cookie vyloučit, schéma je ve skutečnosti implementováno na protokolově neutrálním systému DNS.

Manipulace se záznamníkem

Někteří registrátoři doménových jmen , zejména Name.com, provádějí přesměrování DNS při neúspěšných vyhledáváních doménových jmen navzdory námitkám ze strany ICANN a jejich spotřebitelů.

Řešení

Informační kancelář komisařů ve Spojeném království zjistila, že praxe nedobrovolného přesměrování DNS je v rozporu s PECR a směrnicí ES 95/46 o ochraně údajů, které vyžadují výslovný souhlas ke zpracování komunikačního provozu. Odmítl však zasahovat s argumentem, že by nebylo moudré zákon přijmout, protože by to jednotlivcům nezpůsobilo podstatnou (ani žádnou) zjevnou újmu. ICANN , mezinárodní organizace odpovědná za správu doménových jmen nejvyšší úrovně, vydala memorandum, ve kterém zdůrazňuje své obavy a potvrzuje: „ICANN důrazně nedoporučuje používání přesměrování DNS, zástupných znaků, syntézy odpovědí a jiných forem nahrazování NXDOMAIN ve stávajících gTLD , ccTLD . a na jakékoli jiné úrovni ve stromu DNS registrace třídy názvu domény“.