DNSキャッシュポイズニングとは何ですか?

DNSスプーフィングとも呼ばれるDNSキャッシュポイズニングは、ドメインネームシステム(DNS)の脆弱性を悪用して、インターネットトラフィックを正規のサーバーから偽のサーバーに迂回させる攻撃の一種です。

DNSポイズニングが非常に危険である理由の1つは、DNSサーバーからDNSサーバーに広がる可能性があるためです。2010年、DNSポイズニングイベントにより、中国のグレートファイアウォールが一時的に中国の国境を脱出し、問題が修正されるまで米国のインターネットを検閲しました。

DNSのしくみ

コンピュータが「google.com」などのドメイン名に接続するときは常に、最初にDNSサーバーに接続する必要があります。DNSサーバーは、コンピューターがgoogle.comにアクセスできる1つ以上のIPアドレスで応答します。次に、コンピュータはその数値のIPアドレスに直接接続します。DNSは、「google.com」のような人間が読める形式のアドレスを「173.194.67.102」のようなコンピュータが読める形式のIPアドレスに変換します。

  • 続きを読む:HTGの説明:DNSとは何ですか?

DNSキャッシング

インターネットにはDNSサーバーが1つしかないだけではなく、非常に非効率的です。インターネットサービスプロバイダーは、他のDNSサーバーからの情報をキャッシュする独自のDNSサーバーを実行しています。ホームルーターはDNSサーバーとして機能し、ISPのDNSサーバーからの情報をキャッシュします。コンピューターにはローカルDNSキャッシュがあるため、DNSルックアップを何度も実行するのではなく、既に実行されているDNSルックアップをすばやく参照できます。

DNSキャッシュポイズニング

DNSキャッシュに誤ったエントリが含まれていると、DNSキャッシュがポイズニングされる可能性があります。たとえば、攻撃者がDNSサーバーの制御を取得し、その情報の一部を変更した場合(たとえば、google.comが実際に攻撃者が所有するIPアドレスを指していると言うことができます)、DNSサーバーはユーザーに確認するように指示します間違ったアドレスのGoogle.comの場合。攻撃者のアドレスには、ある種の悪意のあるフィッシングWebサイトが含まれている可能性があります

このようなDNSポイズニングも広がる可能性があります。たとえば、さまざまなインターネットサービスプロバイダーが侵害されたサーバーからDNS情報を取得している場合、汚染されたDNSエントリはインターネットサービスプロバイダーに拡散し、そこでキャッシュされます。その後、ホームルーターとコンピューターのDNSキャッシュに拡散し、DNSエントリを検索して誤った応答を受信し、保存します。

中国のグレートファイアウォールが米国に広がる

これは単なる理論上の問題ではなく、現実の世界で大規模に発生しています。中国のグレートファイアウォールが機能する方法の1つは、DNSレベルでのブロックによるものです。たとえば、twitter.comなど、中国でブロックされているWebサイトでは、DNSレコードが中国のDNSサーバーの誤ったアドレスを指している可能性があります。これにより、通常の方法ではTwitterにアクセスできなくなります。これは、中国が意図的に独自のDNSサーバーキャッシュを汚染していると考えてください。

2010年、中国国外のインターネットサービスプロバイダーは、中国のDNSサーバーから情報を取得するようにDNSサーバーを誤って構成しました。中国から誤ったDNSレコードをフェッチし、独自のDNSサーバーにキャッシュしました。他のインターネットサービスプロバイダーは、そのインターネットサービスプロバイダーからDNS情報を取得し、DNSサーバーで使用しました。毒されたDNSエントリは、米国の一部の人々が米国のインターネットサービスプロバイダーでTwitter、Facebook、およびYouTubeにアクセスするのをブロックされるまで広がり続けました。中国のグレートファイアウォールは国境の外に「漏れ」、世界の他の場所からの人々がこれらのWebサイトにアクセスするのを妨げていました。これは本質的に大規模なDNSポイズニング攻撃として機能しました。(ソース。)

ソリューション

DNSキャッシュポイズニングがこのような問題である本当の理由は、受信したDNS応答が実際に正当であるかどうか、またはそれらが操作されているかどうかを判断する実際の方法がないためです。

DNSキャッシュポイズニングの長期的な解決策はDNSSECです。DNSSECを使用すると、組織は公開鍵暗号を使用してDNSレコードに署名できるため、DNSレコードを信頼する必要があるかどうか、または汚染されて間違った場所にリダイレクトされるかどうかをコンピューターが確実に認識できます。

  • 続きを読む:DNSSECがインターネットのセキュリティ保護にどのように役立つか、SOPAがインターネットをほとんど違法にした方法

画像クレジット:FlickrのAndrew Kuznetsov、FlickrのJemimus、NASA