Yksi syy siihen, että DNS-myrkytys on niin vaarallinen, johtuu siitä, että se voi levitä DNS-palvelimesta DNS-palvelimeen. Vuonna 2010 DNS-myrkytystapahtuman seurauksena Kiinan suuri palomuuri väliaikaisesti pakeni Kiinan valtioiden rajoihin, sensuroi Internetin Yhdysvalloissa, kunnes ongelma oli korjattu.
Miten DNS toimii
Aina kun tietokoneesi liittyy verkkotunnukseen, kuten "google.com", sen on ensin otettava yhteyttä DNS-palvelimeen. DNS-palvelin vastaa yhdellä tai useammalla IP-osoitteella, joihin tietokoneesi voi tavoittaa google.com. Tietokone kytketään sitten suoraan siihen numeeriseen IP-osoitteeseen. DNS muuntaa ihmisen luettavia osoitteita, kuten "google.com", tietokoneella luettaviksi IP-osoitteiksi, kuten "173.194.67.102".
Lue lisää: HTG selittää: Mikä on DNS?
DNS-välimuisti
Internetissä ei ole vain yhtä DNS-palvelinta, koska se olisi erittäin tehotonta. Internet-palveluntarjoajasi ylläpitää omia DNS-palvelimia, jotka välittävät tietoja muista DNS-palvelimista. Kotoreitti toimii DNS-palvelimena, joka välittää tietoja ISP: n DNS-palvelimilta. Tietokoneessa on paikallinen DNS-välimuisti, joten se voi nopeasti viitata DNS-hakuihin, jotka on jo suoritettu, eikä suorita DNS-haun uudelleen ja uudestaan.
DNS-kätkön myrkytys
DNS-välimuisti voi myrkyttää, jos se sisältää virheellisen merkinnän. Esimerkiksi jos hyökkääjä saa hallinnan DNS-palvelimesta ja muuttaa joitain tietoja siitä - esimerkiksi he voisivat sanoa, että google.com todella osoittaa IP-osoitteen, jonka hyökkääjä omistaa - että DNS-palvelin ilmoittaisi käyttäjilleen, että Google.com-sivustossa väärässä osoitteessa. Hyökkääjän osoite voi sisältää jonkinlaisen haitallisen verkkourkinta-sivuston
Tällainen DNS-myrkytys voi myös levitä. Jos esimerkiksi useat Internet-palveluntarjoajat saavat DNS-tietonsa vaaralliselta palvelimelta, myrkytetty DNS-tieto leviää Internet-palveluntarjoajille ja tallennetaan siellä. Se leviää sitten kotiin reitittimiin ja DNS-välimuistit tietokoneisiin, kun ne hakevat DNS-merkinnän, saavat virheellisen vastauksen ja tallentavat sen.
Kiinan suuri palomuuri levittyy Yhdysvaltoihin
Tämä ei ole vain teoreettinen ongelma - se on tapahtunut suuressa mittakaavassa reaalimaailmassa. Yksi tapa, jolla Kiinan suuri palomuuri toimii, estää DNS-tason. Esimerkiksi Kiinassa estetty sivusto, kuten twitter.com, saattaa olla DNS-tietueet osoittautunut väärään osoitteeseen Kiinan DNS-palvelimissa. Tämä johtaisi siihen, että Twitter ei ole saavutettavissa tavanomaisin keinoin. Ajattele tätä, kun Kiina tahallaan myrkytti omia DNS-palvelimen kätköjä.
Vuonna 2010 Internet-palveluntarjoaja Kiinaan virheellisesti konfiguroi DNS-palvelimet hakemaan tietoa Kiinan DNS-palvelimilta. Se haastoi virheelliset DNS-tietueet Kiinasta ja tallensi ne omille DNS-palvelimilleen. Muut Internet-palveluntarjoajat hakivat DNS-tietoja kyseiseltä Internet-palveluntarjoajalta ja käyttivät sitä DNS-palvelimissaan. Myrkytettyjä DNS-merkintöjä levitettiin edelleen, kunnes jotkut Yhdysvalloissa olevat henkilöt estettiin käyttämästä Twitterissä, Facebookissa ja YouTubessa amerikkalaisia Internet-palveluntarjoajiaan. Kiinan suuri palomuuri oli "vuotanut" kansallisten rajojensa ulkopuolelle estäen ihmisiä muualta maailmasta pääsemästä näihin verkkosivustoihin. Tämä toimi pääasiassa laajamittaisena DNS-myrkytyskohtauksena. (Lähde.)
Ratkaisu
Todellinen syy DNS-kätkön myrkytykseen on tällainen ongelma, koska siinä ei ole todellista tapaa määrittää, ovatko vastaanottamasi DNS-vastaukset todella oikeutettuja vai onko niitä manipuloitu.
Pitkäaikainen ratkaisu DNS-kätkön myrkytykseen on DNSSEC. DNSSEC antaa organisaatioille mahdollisuuden allekirjoittaa DNS-tietueensa käyttäen julkisen avaimen salausta varmistaen, että tietokone tietäisi, onko DNS-tietue luotettava vai onko se myrkytetty ja ohjattu väärään paikkaan.
