DNS-kätkön myrkytys, joka tunnetaan myös nimellä DNS spoofing, on eräänlainen hyökkäys, joka hyödyntää verkkotunnusten järjestelmän (DNS) haavoittuvuuksia Internet-liikenteen ohittamiseksi pois laillisista palvelimista ja väärennöksistä.
Yksi syy siihen, että DNS-myrkytys on niin vaarallinen, johtuu siitä, että se voi levitä DNS-palvelimesta DNS-palvelimeen. Vuonna 2010 DNS-myrkytystapahtuman seurauksena Kiinan suuri palomuuri väliaikaisesti pakeni Kiinan valtioiden rajoihin, sensuroi Internetin Yhdysvalloissa, kunnes ongelma oli korjattu.
Aina kun tietokoneesi liittyy verkkotunnukseen, kuten "google.com", sen on ensin otettava yhteyttä DNS-palvelimeen. DNS-palvelin vastaa yhdellä tai useammalla IP-osoitteella, joihin tietokoneesi voi tavoittaa google.com. Tietokone kytketään sitten suoraan siihen numeeriseen IP-osoitteeseen. DNS muuntaa ihmisen luettavia osoitteita, kuten "google.com", tietokoneella luettaviksi IP-osoitteiksi, kuten "173.194.67.102".
Internetissä ei ole vain yhtä DNS-palvelinta, koska se olisi erittäin tehotonta. Internet-palveluntarjoajasi ylläpitää omia DNS-palvelimia, jotka välittävät tietoja muista DNS-palvelimista. Kotoreitti toimii DNS-palvelimena, joka välittää tietoja ISP: n DNS-palvelimilta. Tietokoneessa on paikallinen DNS-välimuisti, joten se voi nopeasti viitata DNS-hakuihin, jotka on jo suoritettu, eikä suorita DNS-haun uudelleen ja uudestaan.
DNS-välimuisti voi myrkyttää, jos se sisältää virheellisen merkinnän. Esimerkiksi jos hyökkääjä saa hallinnan DNS-palvelimesta ja muuttaa joitain tietoja siitä - esimerkiksi he voisivat sanoa, että google.com todella osoittaa IP-osoitteen, jonka hyökkääjä omistaa - että DNS-palvelin ilmoittaisi käyttäjilleen, että Google.com-sivustossa väärässä osoitteessa. Hyökkääjän osoite voi sisältää jonkinlaisen haitallisen verkkourkinta-sivuston
Tällainen DNS-myrkytys voi myös levitä. Jos esimerkiksi useat Internet-palveluntarjoajat saavat DNS-tietonsa vaaralliselta palvelimelta, myrkytetty DNS-tieto leviää Internet-palveluntarjoajille ja tallennetaan siellä. Se leviää sitten kotiin reitittimiin ja DNS-välimuistit tietokoneisiin, kun ne hakevat DNS-merkinnän, saavat virheellisen vastauksen ja tallentavat sen.
Tämä ei ole vain teoreettinen ongelma - se on tapahtunut suuressa mittakaavassa reaalimaailmassa. Yksi tapa, jolla Kiinan suuri palomuuri toimii, estää DNS-tason. Esimerkiksi Kiinassa estetty sivusto, kuten twitter.com, saattaa olla DNS-tietueet osoittautunut väärään osoitteeseen Kiinan DNS-palvelimissa. Tämä johtaisi siihen, että Twitter ei ole saavutettavissa tavanomaisin keinoin. Ajattele tätä, kun Kiina tahallaan myrkytti omia DNS-palvelimen kätköjä.
Vuonna 2010 Internet-palveluntarjoaja Kiinaan virheellisesti konfiguroi DNS-palvelimet hakemaan tietoa Kiinan DNS-palvelimilta. Se haastoi virheelliset DNS-tietueet Kiinasta ja tallensi ne omille DNS-palvelimilleen. Muut Internet-palveluntarjoajat hakivat DNS-tietoja kyseiseltä Internet-palveluntarjoajalta ja käyttivät sitä DNS-palvelimissaan. Myrkytettyjä DNS-merkintöjä levitettiin edelleen, kunnes jotkut Yhdysvalloissa olevat henkilöt estettiin käyttämästä Twitterissä, Facebookissa ja YouTubessa amerikkalaisia Internet-palveluntarjoajiaan. Kiinan suuri palomuuri oli "vuotanut" kansallisten rajojensa ulkopuolelle estäen ihmisiä muualta maailmasta pääsemästä näihin verkkosivustoihin. Tämä toimi pääasiassa laajamittaisena DNS-myrkytyskohtauksena. (Lähde.)
Todellinen syy DNS-kätkön myrkytykseen on tällainen ongelma, koska siinä ei ole todellista tapaa määrittää, ovatko vastaanottamasi DNS-vastaukset todella oikeutettuja vai onko niitä manipuloitu.
Pitkäaikainen ratkaisu DNS-kätkön myrkytykseen on DNSSEC. DNSSEC antaa organisaatioille mahdollisuuden allekirjoittaa DNS-tietueensa käyttäen julkisen avaimen salausta varmistaen, että tietokone tietäisi, onko DNS-tietue luotettava vai onko se myrkytetty ja ohjattu väärään paikkaan.
Image Credit: Andrew Kuznetsov Flickrissä, Jemimus Flickrissä, NASA
