Một trong những nguyên nhân gây ngộ độc DNS là rất nguy hiểm vì nó có thể lây lan từ máy chủ DNS sang máy chủ DNS. Trong năm 2010, một sự kiện ngộ độc DNS khiến Tường lửa lớn của Trung Quốc tạm thời thoát khỏi biên giới quốc gia của Trung Quốc, kiểm duyệt Internet ở Hoa Kỳ cho đến khi vấn đề được khắc phục.
Cách hoạt động của DNS
Bất cứ khi nào máy tính của bạn liên hệ với một tên miền như "google.com", trước tiên nó phải liên hệ với máy chủ DNS của máy chủ. Máy chủ DNS phản hồi với một hoặc nhiều địa chỉ IP nơi máy tính của bạn có thể truy cập google.com. Máy tính của bạn sau đó kết nối trực tiếp với địa chỉ IP số đó. DNS chuyển đổi các địa chỉ có thể đọc được của con người như “google.com” thành địa chỉ IP có thể đọc trên máy tính như “173.194.67.102”.
Đọc thêm: HTG Giải thích: DNS là gì?
DNS Caching
Internet không chỉ có một máy chủ DNS duy nhất, vì điều đó sẽ vô cùng hiệu quả. Nhà cung cấp dịch vụ Internet của bạn chạy các máy chủ DNS của riêng nó, lưu trữ thông tin từ các máy chủ DNS khác. Bộ định tuyến của bạn hoạt động như một máy chủ DNS, lưu trữ thông tin từ các máy chủ DNS của ISP của bạn. Máy tính của bạn có bộ nhớ cache DNS cục bộ, do đó, nó có thể nhanh chóng tham chiếu đến tra cứu DNS nó đã được thực hiện thay vì thực hiện tra cứu DNS nhiều lần.
Ngộ độc bộ nhớ cache DNS
Bộ nhớ cache DNS có thể bị nhiễm độc nếu nó chứa một mục nhập sai. Ví dụ: nếu kẻ tấn công kiểm soát máy chủ DNS và thay đổi một số thông tin trên máy chủ - ví dụ: họ có thể nói rằng google.com thực sự trỏ đến địa chỉ IP mà kẻ tấn công sở hữu - máy chủ DNS đó sẽ yêu cầu người dùng xem cho Google.com tại địa chỉ không đúng. Địa chỉ của kẻ tấn công có thể chứa một số loại trang web lừa đảo độc hại
Sự nhiễm độc DNS như thế này cũng có thể lan rộng. Ví dụ, nếu các nhà cung cấp dịch vụ Internet khác nhau nhận được thông tin DNS của họ từ máy chủ bị xâm phạm, mục nhập DNS bị nhiễm độc sẽ lây lan sang các nhà cung cấp dịch vụ Internet và được lưu trữ ở đó. Sau đó nó sẽ lây lan sang bộ định tuyến và DNS lưu trữ trên máy tính khi chúng tra cứu mục nhập DNS, nhận phản hồi không chính xác và lưu trữ nó.
Tường lửa lớn của Trung Quốc lan sang Mỹ
Đây không chỉ là một vấn đề lý thuyết - nó đã xảy ra trong thế giới thực trên một quy mô lớn. Một trong những cách mà tường lửa Great Firewall của Trung Quốc hoạt động là thông qua việc chặn ở cấp DNS. Ví dụ, một trang web bị chặn ở Trung Quốc, chẳng hạn như twitter.com, có thể có bản ghi DNS của nó chỉ vào một địa chỉ không chính xác trên các máy chủ DNS ở Trung Quốc. Điều này sẽ dẫn đến Twitter không thể truy cập được thông qua các phương tiện thông thường. Hãy nghĩ về điều này khi Trung Quốc cố tình đầu độc bộ đệm máy chủ DNS của chính nó.
Vào năm 2010, một nhà cung cấp dịch vụ Internet bên ngoài Trung Quốc đã cấu hình nhầm các máy chủ DNS của nó để lấy thông tin từ các máy chủ DNS ở Trung Quốc. Nó lấy các bản ghi DNS không chính xác từ Trung Quốc và lưu trữ chúng trên các máy chủ DNS của chính nó. Các nhà cung cấp dịch vụ Internet khác đã tìm nạp thông tin DNS từ nhà cung cấp dịch vụ Internet đó và sử dụng nó trên các máy chủ DNS của họ. Các mục DNS bị nhiễm độc tiếp tục lan rộng cho đến khi một số người ở Mỹ bị chặn truy cập Twitter, Facebook và YouTube trên các nhà cung cấp dịch vụ Internet của Mỹ. Bức tường lửa vĩ đại của Trung Quốc đã "rò rỉ" bên ngoài biên giới quốc gia của nó, ngăn chặn mọi người từ nơi khác trên thế giới truy cập vào các trang web này. Về cơ bản, nó hoạt động như một cuộc tấn công ngộ độc DNS quy mô lớn. (Nguồn.)
Giải pháp
Lý do thực sự gây ngộ độc DNS cache là một vấn đề là vì không có cách nào thực sự xác định xem các phản hồi DNS mà bạn nhận được có thực sự hợp pháp hay không hoặc chúng đã bị thao túng hay chưa.
Giải pháp lâu dài đối với ngộ độc DNS cache là DNSSEC. DNSSEC sẽ cho phép các tổ chức ký vào bản ghi DNS của họ bằng cách sử dụng mật mã khóa công khai, đảm bảo rằng máy tính của bạn sẽ biết liệu bản ghi DNS có đáng tin cậy không hoặc liệu nó có bị nhiễm độc và chuyển hướng đến một vị trí không chính xác hay không.
