DNS hijacking
DNS únos nebo přesměrování DNS je praxe rozvracení rozlišení Domain Name System (DNS) dotazy. Toho lze dosáhnout tím, malware, který potlačí počítače TCP / IP konfiguraci poukázat na tuláka serveru DNS pod kontrolou útočníka, nebo prostřednictvím modifikace chování důvěryhodného serveru DNS tak, že to není v souladu s internetovými standardy.
Tyto změny mohou být provedeny k nekalým účelům, jako jsou phishing , nebo pro osoby samostatně výdělečně sloužící účelům poskytovatelů internetových služeb (ISP) a veřejnými / routeru na bázi on-line poskytovatelů DNS serveru do webového provozu přímých uživatelů k vlastním ISP webových serverů , kde reklamy mohou se podává, statistiky shromážděné nebo jiné účely ISP; a poskytovateli služeb DNS blokovat přístup k vybraným domén jako forma cenzury .
Technické zázemí Extremní
Jednou z funkcí serveru DNS je přeložit název domény do IP adresy , které aplikace provede připojení k Internetu prostředku jako je například webové stránky . Tato funkce je definována v různých formálních internetových standardů , které definují protokol velmi podrobně. DNS servery jsou implicitně důvěřuje internetových čelí počítačů a uživatelů správně překládat názvy skutečných adres, které jsou registrovány podle vlastníků internetové domény.
Rogue DNS server Extremní
Rogue DNS server překládá názvy domén na žádoucích webových stránek (vyhledávače, banky, kanceláře, atd.) na IP adresy stránek s nechtěného obsahu, dokonce i hrozbami z webových stránek. Většina uživatelů závisí na DNS servery automaticky přiřazeny jejich ISP . počítače Zombie používat DNS-měnící trojské koně , aby neviditelně přepnout automatické přiřazení serveru DNS od ISP do manuálního zadání DNS serveru z nepoctivých DNS serverů. [ pochvalná zmínka potřebovaný ] Když se uživatel pokusí navštívit webové stránky , jsou místo toho poslal na falešné webové stránky. Tento útok se nazývá pharming . Pokud se na staveništi, které jsou přesměrovány, je škodlivý web, maskující se jako legitimní webové stránky, aby se podvodně získat citlivé informace, to se nazývá phishing .
Manipulace ISP Extremní
Počet spotřebitelských internetových služeb, jako je Cablevision je optimální online , Comcast , Time Warner , Cox Communications , RCN , Rogers, Charter Communications , Verizon , Virgin Media , rontier Communications , Bell DNS únos pro své vlastní účely, jako je zobrazování reklamy , nebo sběr statistických údajů. Tato praxe je v rozporu s RFC standard pro DNS (Hodnota NXDOMAIN) odezvy, a mohou potenciálně otevřené uživatelé na cross-site scripting útoky.
Obavy s DNS únos zahrnuje tento únos odpovědi Hodnota NXDOMAIN. Internetové a intranetové aplikace spoléhají na reakci Hodnota NXDOMAIN popsat stav, kdy má DNS žádný záznam pro určenému hostiteli. Pokud bychom chtěli dotaz neplatný název domény (fakeexample.com), jeden by měl dostat odpověď Hodnota NXDOMAIN - informování aplikaci, název je neplatný a při provedení odpovídající akce (například zobrazování chybu nebo ne pokusu o připojení k serveru ). Nicméně, v případě, že název domény je dotazován na jednom z těchto nevyhovujících ISP, jeden by vždy obdrží falešnou IP adresu patřící k ISP. Ve webovém prohlížeči , toto chování může být nepříjemné nebo útočné jako připojení k této IP adresy zobrazí přesměrování stránku ISP poskytovatele, někdy s reklamou, místo správné chybové zprávy. Nicméně, jiné aplikace, které spoléhají na chyby Hodnota NXDOMAIN místo toho pokusí iniciovat připojení k tomuto falešnou IP adresu, případně vystavení citlivých informací.
Příklady funkcí, které poruší-li poskytovatel unese DNS:
Roaming notebooky, které jsou členy domény systému Windows Server bude falešně se kloní k názoru, že jsou zpět v podnikové síti, protože zdroje, jako jsou řadiče domény , e-mailové servery a další infrastruktury se zdají být k dispozici. Aplikace se tedy pokusí iniciovat připojení k těmto firemním serverům, ale nepodaří, což má za následek zhoršení výkonu, zbytečné provoz na připojení k internetu a časové limity .
Mnoho malých kancelářské a domácí sítě nemají vlastní DNS server, spoléhat se místo toho na vysílání názvů. Mnoho verzí systému Microsoft Windows ve výchozím nastavení k upřednostňování DNS názvů NetBIOS nad vysílání rozlišením jméno; Proto, když serverem ISP DNS vrací (technicky platnou) adresu IP pro název požadovaného počítače v síti LAN, spojující počítač používá tuto nesprávnou adresu IP a nevyhnutelně neporozuměl na požadované počítače v síti LAN. Možná zástupná řešení zahrnují pomocí správnou adresu IP místo názvu počítače, nebo změnou hodnoty registru DhcpNodeType změnit pořadí rozlišení názvu služby.
Prohlížeče, jako je Firefox již mají "Hledat podle jména 'funkce (Kde klíčová slova zadávaná do adresního řádku se dostanete na nejbližší odpovídající místě.).
Místní Klient DNS integrována do moderních operačních systémů bude do mezipaměti výsledky vyhledávání DNS z výkonnostních důvodů. Pokud klient přepne mezi domácí sítí a VPN , falešné záznamy, které mohou zůstat v mezipaměti, čímž se vytváří například k výpadku služby na připojení VPN.
RHSBL anti-spam řešení se spoléhají na DNS; falešné výsledky DNS tudíž v rozporu s jejich provozem.
Důvěrné údaje uživatele mohou být unikly aplikacemi, které jsou napálil ISP do podezření, že servery, které se chtějí připojit k dispozici.
Volba uživatele přes které vyhledávače konzultovat v případě, že URL je překlep v prohlížeči je odstraněna jako ISP určuje, jaké výsledky hledání se zobrazí uživateli; funkčnost aplikací, jako je Google Toolbar nefungují správně.
Počítače jsou konfigurovány pro použití rozdělený tunel s připojením VPN přestane pracovat, protože názvy intranetu, které by neměly být vyřešen mimo tunel přes veřejný internet začne řešit na fiktivních adres, namísto řešení správně přes VPN tunel na vlastním serveru DNS, pokud odpověď Hodnota NXDOMAIN se dostal z Internetu. Například poštovní klient pokouší vyřešit DNS A záznam pro interní mail server může přijímat falešné odpovědi DNS, který je zaměřen na placené výsledky jednotlivců webový server, s zpráv ve frontě pro doručení pro dny, zatímco přenos byl učiněn pokus marně.
Láme Web Proxy AutoDiscovery Protocol (WPAD) tím, že vede webových prohlížečů věřit, nesprávně, že ISP má proxy server nakonfigurován.
Láme monitorovací software. Například, pokud budeme pravidelně kontaktovat server určit jeho zdraví, monitor nikdy vidět selhání, pokud monitor se pokusí ověřit kryptografický klíč serveru.
V některých případech, ISP poskytují nastavení účastnických konfigurovatelné zakázat únos Hodnota NXDOMAIN odpovědí. Správně prováděna, například nastavení vrátí DNS na standardní chování. Ostatní poskytovatelé internetových služeb, ale místo toho použijte webový prohlížeč cookie k ukládání přednost. V tomto případě se základní chování není vyřešen: DNS dotazy i nadále přesměrován, zatímco přesměrování stránky ISP je nahrazen chyby padělky dns stránku. Jiné než webové prohlížeče aplikace nemůže být odhlášena z režimu za použití cookies, jak na opt-out cílů pouze HTTP protokol, je-li systém skutečně provádí v systému DNS protokolu neutrální.
Manipulace by registrátorů Extremní
Některé registrátorů doménových jmen , zejména Name.com, provádět DNS únos o neúspěšných doménových jmen vyhledávání přes námitky k této praxi ICANN a jejich zákazníky.
Reakce Extremní
Ve Velké Británii, informace komisaře společnosti uznaly, že praxe nedobrovolné DNS únosu v rozporu s PECR, a směrnice ES 95/46 o ochraně osobních údajů, který vyžaduje výslovný souhlas ke zpracování komunikačního provozu. Ale oni odmítli zasáhnout, prohlašovat, že to by nebylo rozumné prosadit zákon, protože by to způsobit významné (nebo dokonce žádnou) prokazatelnou újmu jednotlivcům.
ICANN , mezinárodní orgán odpovědný za správu doménových jmen nejvyšší úrovně, vydala memorandum zdůrazňující své obavy, a znovu potvrzuje:
"ICANN silně odrazuje od používání DNS přesměrování, zástupné znaky, syntetizovány reakcí a jiné formy substituce Hodnota NXDOMAIN ve stávajících gTLDs, ccTLD a jakékoli jiné úrovni ve stromu DNS doménových jmen registru třídy."
Náprava Extremní
Otázka book-new.svg
Tato sekce není citovat žádné odkazy nebo zdroje . Prosím, pomozte zlepšit tento bod přidá citací spolehlivých zdrojů . Tento překlad nedokonalý materiál může být napadena a odstranit . (srpen 2013)
Koncoví uživatelé, nespokojení s chudými "opt-out" možnosti, jako je cookie, které reagovaly na diskusi tím, že najde způsob, jak se vyhnout falešnou identitou Hodnota NXDOMAIN odpovědi. DNS software, jako Bind a možnosti Dnsmasq nabízejí filtrovat výsledky, a může být spuštěn z brány nebo směrovače pro ochranu celé sítě. Google, mimo jiné, otevřené spustit DNS servery, které v současné době nevrací falešnou identitou výsledky. Takže uživatel může použít Google Public DNS namísto jejich servery DNS poskytovatele připojení k Internetu v případě, že jsou ochotni přijmout spojenou ztrátu soukromí spojené s jejich on-line chování sledovány. Jedním z omezení tohoto přístupu je to, že někteří poskytovatelé blokují nebo přepsat požadavky mimo DNS.
Tam jsou také pracovní-arounds úrovni aplikace, jako je například NoRedirect rozšíření pro Firefox add-on, který zmírnit některé z chování. Přístup takhle řeší pouze jednu aplikaci (v tomto příkladu, Firefox) a nebudou řešit žádné jiné problémy způsobené. Vlastníci webových stránek, může být schopen oklamat některé únosce pomocí určitých nastavení DNS. Například, nastavení TXT záznam "nepoužitý" na jejich zástupný adresu (např. *. Example.com). Můžete se pokusit nastavit CNAME na divokou kartu, aby "example.invalid", s využitím skutečnosti, že ". Neplatný" je zaručeno, že neexistuje dle RFC. Omezení tohoto přístupu je to, že pouze brání únos na těchto konkrétních oblastech, ale to může řešit některé problémy se zabezpečením VPN způsobené DNS únos.