O que é envenenamento de cache DNS?
O envenenamento de cache de DNS, também conhecido como falsificação de DNS, é um tipo de ataque que explora vulnerabilidades no sistema de nomes de domínio (DNS) para desviar o tráfego da Internet de servidores legítimos para servidores falsos.
Uma das razões pelas quais o envenenamento de DNS é tão perigoso é porque ele pode se espalhar de um servidor DNS para outro. Em 2010, um evento de envenenamento de DNS resultou na Grande Firewall da China escapando temporariamente das fronteiras nacionais da China, censurando a Internet nos EUA até que o problema fosse corrigido.
Como funciona o DNS
Sempre que seu computador entrar em contato com um nome de domínio como “google.com”, ele deverá primeiro entrar em contato com o servidor DNS. O servidor DNS responde com um ou mais endereços IP onde seu computador pode acessar google.com. Seu computador então se conecta diretamente a esse endereço IP numérico. O DNS converte endereços legíveis por humanos, como “google.com”, em endereços IP legíveis por computador, como “173.194.67.102”.
- Leia mais: HTG explica: O que é DNS?
Cache DNS
A Internet não tem apenas um único servidor DNS, pois isso seria extremamente ineficiente. Seu provedor de serviços de Internet executa seus próprios servidores DNS, que armazenam informações em cache de outros servidores DNS. Seu roteador doméstico funciona como um servidor DNS, que armazena em cache as informações dos servidores DNS do seu ISP. Seu computador tem um cache DNS local, para que possa consultar rapidamente as pesquisas DNS já realizadas, em vez de realizar uma pesquisa DNS repetidamente.
Envenenamento de cache DNS
Um cache DNS pode ser contaminado se contiver uma entrada incorreta. Por exemplo, se um invasor obtiver o controle de um servidor DNS e alterar algumas das informações nele - por exemplo, eles podem dizer que google.com realmente aponta para um endereço IP de propriedade do invasor - esse servidor DNS dirá a seus usuários para procurar para Google.com no endereço errado. O endereço do invasor pode conter algum tipo de site de phishing malicioso
O envenenamento de DNS como esse também pode se espalhar. Por exemplo, se vários provedores de serviço de Internet estão obtendo suas informações de DNS do servidor comprometido, a entrada de DNS envenenada se espalhará para os provedores de serviço de Internet e será armazenada em cache lá. Em seguida, ele se espalhará para os roteadores domésticos e os caches DNS dos computadores à medida que eles procuram a entrada DNS, recebem a resposta incorreta e a armazenam.
O Grande Firewall da China se espalha para os EUA
Este não é apenas um problema teórico - aconteceu no mundo real em grande escala. Uma das maneiras pelas quais o Grande Firewall da China funciona é por meio do bloqueio no nível do DNS. Por exemplo, um site bloqueado na China, como twitter.com, pode ter seus registros DNS apontados para um endereço incorreto em servidores DNS na China. Isso faria com que o Twitter ficasse inacessível por meios normais. Pense nisso como a China envenenando intencionalmente seus próprios caches de servidor DNS.
Em 2010, um provedor de serviços de Internet fora da China configurou erroneamente seus servidores DNS para buscar informações de servidores DNS na China. Ele buscou os registros DNS incorretos da China e os armazenou em cache em seus próprios servidores DNS. Outros provedores de serviços de Internet buscaram informações DNS desse provedor de serviços de Internet e as utilizaram em seus servidores DNS. As entradas de DNS envenenadas continuaram a se espalhar até que algumas pessoas nos Estados Unidos foram impedidas de acessar o Twitter, Facebook e YouTube em seus provedores de serviços de Internet americanos. O Grande Firewall da China “vazou” para fora de suas fronteiras nacionais, impedindo que pessoas de outras partes do mundo acessassem esses sites. Isso funcionou essencialmente como um ataque de envenenamento de DNS em grande escala. (Fonte.)
A solução
A verdadeira razão pela qual o envenenamento do cache de DNS é um problema é porque não há uma maneira real de determinar se as respostas de DNS que você recebe são realmente legítimas ou se foram manipuladas.
A solução de longo prazo para o envenenamento do cache DNS é o DNSSEC. O DNSSEC permitirá que as organizações assinem seus registros DNS usando criptografia de chave pública, garantindo que seu computador saberá se um registro DNS deve ser confiável ou se foi envenenado e redirecionado para um local incorreto.
- Leia mais: Como o DNSSEC ajudará a proteger a Internet e como SOPA quase a tornou ilegal
Crédito da imagem: Andrew Kuznetsov no Flickr, Jemimus no Flickr, NASA