DNS únos nebo DNS přesměrování je praxe přesměrování usnesení Domain Name System (DNS) jména na jiné DNS servery. Toto je děláno k nekalým účelům, jako je phishing , pro self-porce účelyposkytovatelů služeb Internetu (ISP) na přímé uživatele ' HTTP provozu přes vlastní webové servery ISP, kde sloužil reklamy jsou, mohou být shromažďovány statistické údaje, nebo jiné účely ISP; a poskytovateli služeb DNS zablokovat přístup na stránky, které si uživatel přeje blokovat, protože jsou škodlivé nebo nežádoucí povahy.

Technické zázemí

Jeden z funkcí serveru DNS je překlad doménového jména na IP adresu , která se potřebují připojit k Internetu, jako zdroj webové stránky. Tato funkce je definována v různých internetových standardů, které definují protokol ve značných podrobností. DNS servery jsou implicitně důvěřuje internet-čelí počítačů a uživatelů, aby správně vyřešit názvů na skutečné adresy, které jsou registrovány majitelé internetové domény.

Rogue DNS server

Rogue DNS server překládá názvy domén žádoucí webových stránek (vyhledávače, banky, makléři, apod.) na IP adresy stránek s nechtěného obsahu, dokonce i hrozbami z webových stránek. Většina uživatelů závisí na serverech DNS automaticky přidělena jejich ISP . Zombie počítače použít DNS-měnící se trojských koní k neviditelně přepínat automatické přiřazení DNS server ISP, aby DNS server ruční přiřazení před nepoctivými DNS serverů. ^{[ pochvalná zmínka potřebovala ]} Když se uživatel pokusí navštívit webové stránky , oni jsou místo toho poslal na falešnou internetových stránkách. Tento útok se nazývá pharming . Pokud se na staveništi, jsou přesměrováni na webové stránky, je škodlivý, maskovaná jako legitimní stránky, aby se podvodně získat citlivé informace, to je pojmenováno phishing.

Manipulace ISP

Počet spotřebitelských internetových služeb, jako je Cablevision 's on-line Optimum ,  Comcast ,  Time Warner , Cox komunikace , výzkum , Rogers ,Charter Communications , Verizon ,Virgin Media , Frontier komunikace , Bell Sympatico ,UPC , T-Online ,  Optus ,  Mediacom ,  a Bigpond ( Telstra ) použití DNS únos pro jejich vlastní účely , jako je zobrazování reklamy ^, nebo sběru statistik. Tato praxe porušuje RFC standard (NXDOMAIN) odpovědi DNS, a potenciálně mohou otevřít uživatele cross-site skriptování útoky. 

Přesměrování může být příznivější, takže DNS server poskytuje služby, jako je OpenDNS zachytit a blokovat známé weby známo, že je škodlivý, nebo s obsahem, který si uživatel přeje blokovat, atd. Poskytovatel serveru DNS může účtovat poplatek za této služby, nebo také ukazují reklamy, shromažďovat statistické údaje, atd.

Obavy s DNS únos má co do činění s tímto únos odpovědi NXDOMAIN. Internetové a intranetové aplikace, spoléhají na reakci NXDOMAIN popsat stav, kdy DNS nemá žádnou položku pro daný počítač. Jestliže jeden byl dotaz neplatný název domény (fakeexample.com), jeden by měl dostat odpověď NXDOMAIN - informování aplikace, že název je neplatný, a podniká příslušné kroky (například zobrazení chybové nebo ne pokoušet se připojit k serveru ). Nicméně, pokud je název domény dotazovaný na jednom z těchto non-kompatibilní ISP, jeden by vždy obdrží falešnou IP adresu, které patří k ISP. Ve webovém prohlížeči, chování může to být nepříjemné nebo útočné jako připojení k této IP adrese zobrazí ISP přesměrování poskytovatele, někdy s reklamou, místo správného chybová zpráva.Nicméně, aplikace, které spoléhají na NXDOMAIN bude chyba druhé místo pokusu o připojení k zahájení této falešné IP adresy, případně vystavovat citlivé informace.

Příklady funkcí, které se zlomí když ISP unese DNS:

• Roaming notebooky, které jsou členy domény systému Windows Server bude falešně se kloní k názoru, že jsou zpátky v podnikové síti, protože zdroje, jako jsou řadiče domény , e-mailové servery a další infrastruktury se zdají být k dispozici. Žádosti bude proto pokusí iniciovat připojení k těmto firemní servery, ale selhání, což vede k poklesu výkonu, zbytečné provoz na připojení k internetu a časové limity.

• Mnohé malé kanceláře a většina domácích sítí nemají své vlastní DNS server, spoléhat se místo toho na vysílání rozlišení jméno. Nicméně, protože vyhledávání je DNS přednost před místní vysílání, jména budou všichni falešně vyřešit na server patřící do ISP a místní sítě nebude fungovat.

• Prohlížečů, jako Firefox už mají své 'Procházet podle jména' funkce (v případě klíčových slov zadaných v adresním řádku se dostanete na nejbližší odpovídající místo.).

• Lokální DNS klient postavený na moderních operačních systémů bude cache výsledky vyhledávání DNS z výkonnostních důvodů. Pokud klient přepíná mezi domácí sítí a VPN , vstupy mohou falešné zůstat v mezipaměti, čímž se vytvoří výpadku služby na připojení VPN.

• DNSBL anti-spam řešení se spoléhají na DNS, DNS falešné výsledky tedy v rozporu s jejich provozem.

• Citlivá uživatelská data mohou být propuštěn do aplikací, které jsou napálil ISP do podezření, že servery, které chtějí připojit k dispozici.

• Návod k výběru, ve kterém vyhledávač konzultovat v případě, že překlep v URL v prohlížeči je odstraněn jako ISP určuje, jaké výsledky hledání se zobrazují pro uživatele, funkčnost aplikací, jako jeGoogle Toolbar nefungují správně.

• Počítače nakonfigurován pro použití split tunel s VPN připojení přestane fungovat, protože intranet jména, která by neměla být vyřešen mimo tunel přes veřejný internet začne řešit na fiktivní adresy, místo řešení správně přes VPN tunel na soukromém serveru DNS, pokud odpověď NXDOMAIN obdrží od Internetu. Například poštovní klient pokouší vyřešit DNS záznam pro vnitřní poštovní server může získat falešné DNS odpověď, že nařídil, aby platil-výsledky webový server, s zpráv ve frontě pro doručení několik dní, zatímco přenos byl pokus marně.

• To se zlomí Web Proxy automatického zjištění protokolu (WPAD) tím, že vede k domněnce, webové prohlížeče nesprávně, že ISP má proxy server nakonfigurován.

V některých případech, ISP poskytuje nastavení vypnout únos odpovědí NXDOMAIN. Provedena správně, tak se vrátí nastavení DNS na standardní chování. Někteří poskytovatelé služeb Internetu, nicméně, místo toho používat webový prohlížeč cookie k uložení předvoleb. V tomto případě základem chování není vyřešen: DNS dotazy i nadále být přesměrován, zatímco ISP přesměrování je nahrazen dns chyba padělaných stránce (jako exampled charterové sem odkaz. Všimněte si, "Spravovat Opt-In nastavení"). Jiné aplikace, než-prohlížeče webu nemůže být odhlášena ze systému pomocí cookies, opt-out cíle pouze HTTP protokol, kdy systém je skutečně realizována v protokolu DNS-neutrální protokol.