DNS_hijacking

DNS únos nebo DNS přesměrování je praxe přesměrování usnesení Domain Name System (DNS) jména na jiné DNS servery. Toto je děláno k nekalým účelům, jako je phishing , pro self-porce účelyposkytovatelů služeb Internetu (ISP) na přímé uživatele ' HTTP provozu přes vlastní webové servery ISP, kde sloužil reklamy jsou, mohou být shromažďovány statistické údaje, nebo jiné účely ISP; a poskytovateli služeb DNS zablokovat přístup na stránky, které si uživatel přeje blokovat, protože jsou škodlivé nebo nežádoucí povahy.

Technické zázemí

Jeden z funkcí serveru DNS je překlad doménového jména na IP adresu , která se potřebují připojit k Internetu, jako zdroj webové stránky. Tato funkce je definována v různých internetových standardů, které definují protokol ve značných podrobností. DNS servery jsou implicitně důvěřuje internet-čelí počítačů a uživatelů, aby správně vyřešit názvů na skutečné adresy, které jsou registrovány majitelé internetové domény.

Rogue DNS server

Rogue DNS server překládá názvy domén žádoucí webových stránek (vyhledávače, banky, makléři, apod.) na IP adresy stránek s nechtěného obsahu, dokonce i hrozbami z webových stránek. Většina uživatelů závisí na serverech DNS automaticky přidělena jejich ISP . Zombie počítače použít DNS-měnící se trojských koní k neviditelně přepínat automatické přiřazení DNS server ISP, aby DNS server ruční přiřazení před nepoctivými DNS serverů. [ pochvalná zmínka potřebovala ] Když se uživatel pokusí navštívit webové stránky , oni jsou místo toho poslal na falešnou internetových stránkách. Tento útok se nazývá pharming . Pokud se na staveništi, jsou přesměrováni na webové stránky, je škodlivý, maskovaná jako legitimní stránky, aby se podvodně získat citlivé informace, to je pojmenováno phishing.

Manipulace ISP

Počet spotřebitelských internetových služeb, jako je Cablevision 's on-line Optimum ,  Comcast ,  Time Warner , Cox komunikace , výzkum , Rogers ,Charter Communications , Verizon ,Virgin Media , Frontier komunikace , Bell Sympatico ,UPC , T-Online ,  Optus ,  Mediacom ,  a Bigpond ( Telstra ) použití DNS únos pro jejich vlastní účely , jako je zobrazování reklamy , nebo sběru statistik. Tato praxe porušuje RFC standard (NXDOMAIN) odpovědi DNS, a potenciálně mohou otevřít uživatele cross-site skriptování útoky. 

Přesměrování může být příznivější, takže DNS server poskytuje služby, jako je OpenDNS zachytit a blokovat známé weby známo, že je škodlivý, nebo s obsahem, který si uživatel přeje blokovat, atd. Poskytovatel serveru DNS může účtovat poplatek za této služby, nebo také ukazují reklamy, shromažďovat statistické údaje, atd.

Obavy s DNS únos má co do činění s tímto únos odpovědi NXDOMAIN. Internetové a intranetové aplikace, spoléhají na reakci NXDOMAIN popsat stav, kdy DNS nemá žádnou položku pro daný počítač. Jestliže jeden byl dotaz neplatný název domény (fakeexample.com), jeden by měl dostat odpověď NXDOMAIN - informování aplikace, že název je neplatný, a podniká příslušné kroky (například zobrazení chybové nebo ne pokoušet se připojit k serveru ). Nicméně, pokud je název domény dotazovaný na jednom z těchto non-kompatibilní ISP, jeden by vždy obdrží falešnou IP adresu, které patří k ISP. Ve webovém prohlížeči, chování může to být nepříjemné nebo útočné jako připojení k této IP adrese zobrazí ISP přesměrování poskytovatele, někdy s reklamou, místo správného chybová zpráva.Nicméně, aplikace, které spoléhají na NXDOMAIN bude chyba druhé místo pokusu o připojení k zahájení této falešné IP adresy, případně vystavovat citlivé informace.

Příklady funkcí, které se zlomí když ISP unese DNS:

V některých případech, ISP poskytuje nastavení vypnout únos odpovědí NXDOMAIN. Provedena správně, tak se vrátí nastavení DNS na standardní chování. Někteří poskytovatelé služeb Internetu, nicméně, místo toho používat webový prohlížeč cookie k uložení předvoleb. V tomto případě základem chování není vyřešen: DNS dotazy i nadále být přesměrován, zatímco ISP přesměrování je nahrazen dns chyba padělaných stránce (jako exampled charterové sem odkaz. Všimněte si, "Spravovat Opt-In nastavení"). Jiné aplikace, než-prohlížeče webu nemůže být odhlášena ze systému pomocí cookies, opt-out cíle pouze HTTP protokol, kdy systém je skutečně realizována v protokolu DNS-neutrální protokol.

Reakce

Ve Velké Británii, Informační komisař úřadu uznali, že praxe nedobrovolné DNS únosu v rozporu PECR, a směrnicí ES 95/46 o ochraně údajů, které vyžadují výslovný souhlas pro zpracování komunikační provoz. Mají však odmítla zakročit, prohlašovat, že by nebylo "rozumné", aby vymáhání práva, protože "by to způsobit značné (nebo opravdu existuje) prokazatelnou újmu jednotlivce".

ICANN , mezinárodní orgán odpovědný za správu toplevel domény, zveřejnil memorandum zdůrazňující své obavy, a tvrdit: 

"ICANN silně odrazuje od používání přesměrování DNS, zástupné znaky, syntetizované odpovědi i jakékoli jiné formy NXDOMAIN nahrazení stávajících gTLDs, ccTLDs a další úroveň ve stromu DNS-třída registru doménových jmen."