ホームページ » の仕方 » DNSキャッシュポイズニングとは何ですか?

    DNSキャッシュポイズニングとは何ですか?

    DNSスプーフィングとも呼ばれるDNSキャッシュポイズニングは、ドメインネームシステム(DNS)の脆弱性を悪用して、インターネットトラフィックを正規のサーバーから偽のサーバーに誘導する攻撃の一種です。.

    DNS中毒が非常に危険な理由の1つは、それがDNSサーバーからDNSサーバーに広がる可能性があるためです。 2010年に、DNS中毒イベントにより、Great Firewall of Chinaが一時的に中国の国境を脱出し、問題が解決するまでアメリカのインターネットを検閲しました。.

    DNSのしくみ

    コンピュータが「google.com」のようなドメイン名にアクセスするときはいつでも、まずDNSサーバーにアクセスしなければなりません。 DNSサーバーは、コンピュータがgoogle.comにアクセスできる1つ以上のIPアドレスで応答します。コンピュータはその数値のIPアドレスに直接接続します。 DNSは、「google.com」のような人間が読めるアドレスを「173.194.67.102」のようなコンピュータが読めるIPアドレスに変換します。.

    • 続きを読む:HTGは説明:DNSとは何ですか?

    DNSキャッシング

    インターネットには単一のDNSサーバーがあるだけではありません。これは、非常に非効率的になるからです。あなたのインターネットサービスプロバイダは他のDNSサーバーからの情報をキャッシュするそれ自身のDNSサーバーを運営しています。ホームルーターは、ISPのDNSサーバーから情報をキャッシュするDNSサーバーとして機能します。あなたのコンピュータはローカルDNSキャッシュを持っているので、何度も何度もDNSルックアップを実行するのではなく、すでに実行されているDNSルックアップを素早く参照することができます。.

    DNSキャッシュポイズニング

    DNSキャッシュに誤ったエントリが含まれていると、DNSキャッシュが汚染される可能性があります。たとえば、攻撃者がDNSサーバーを制御し、そこに含まれる情報の一部を変更した場合(たとえば、google.comが実際に攻撃者が所有するIPアドレスを指し示しているなど)、DNSサーバーはユーザーに表示するよう指示します。 Google.comのアドレスが間違っている。攻撃者のアドレスには、何らかの悪意のあるフィッシングWebサイトが含まれている可能性があります。

    このようなDNSポイズニングも広がる可能性があります。たとえば、さまざまなインターネットサービスプロバイダが侵入先のサーバーから自分のDNS情報を取得している場合、有害なDNSエントリはインターネットサービスプロバイダに広がり、そこでキャッシュされます。その後、DNSエントリを検索し、誤った応答を受け取り、それを保存しながら、ホームルーターとコンピューター上のDNSキャッシュに拡散します。.

    中国の偉大な防火壁がアメリカに広がる

    これは単なる理論上の問題ではありません。実世界では大規模に発生しています。中国のグレートファイアウォールが機能する方法の1つは、DNSレベルでブロックすることです。たとえば、twitter.comなど、中国でブロックされているWebサイトで、そのDNSレコードが中国のDNSサーバー上の誤ったアドレスを指している可能性があります。これは、Twitterが通常の方法ではアクセスできないという結果になります。これは中国が意図的に自社のDNSサーバーキャッシュを汚染していると考えてください。.

    2010年、中国国外のインターネットサービスプロバイダが、中国のDNSサーバーから情報を取得するように誤って自分のDNSサーバーを設定しました。不正なDNSレコードを中国から取得し、それを独自のDNSサーバーにキャッシュしました。他のインターネットサービスプロバイダは、そのインターネットサービスプロバイダからDNS情報を取得し、それを各自のDNSサーバーで使用していました。汚染されたDNSエントリは、米国の一部の人々がアメリカのインターネットサービスプロバイダでTwitter、Facebook、およびYouTubeにアクセスすることをブロックされるまで広がり続けました。中国のグレートファイアウォールは、国境を越えて「漏洩」し、世界の他の場所から来た人々がこれらのウェブサイトにアクセスするのを妨げていました。これは本質的に大規模なDNS中毒攻撃として機能しました。 (ソース。)

    ソリューション

    DNSキャッシュポイズニングがそのような問題である本当の理由は、あなたが受け取ったDNS応答が実際に正当であるかどうか、またはそれらが操作されたかどうかを判断する本当の方法がないからです。.

    DNSキャッシュポイズニングに対する長期的な解決策はDNSSECです。 DNSSECを使用すると、組織は公開鍵暗号化を使用して自分のDNSレコードに署名できます。これにより、DNSレコードが信頼されるべきかどうか、または有害なものであるかどうかを確認できます。.

    • 続きを読む:DNSSECがどのようにインターネットのセキュリティを保護するのか、そしてSOPAがどのように違法としているのか

    Image Credit:FlickrのAndrew Kuznetsov、FlickrのJemimus、NASA