Uno dei motivi per cui l'avvelenamento da DNS è così pericoloso è perché può diffondersi dal server DNS al server DNS. Nel 2010, un evento di avvelenamento del DNS ha portato il Grande Firewall della Cina a fuggire temporaneamente dai confini nazionali della Cina, censurando Internet negli Stati Uniti fino a che il problema non fosse stato risolto.
Come funziona il DNS
Ogni volta che il tuo computer contatta un nome di dominio come "google.com", deve prima contattare il suo server DNS. Il server DNS risponde con uno o più indirizzi IP in cui il tuo computer può raggiungere google.com. Il tuo computer quindi si connetterà direttamente a quell'indirizzo IP numerico. DNS converte gli indirizzi leggibili come "google.com" in indirizzi IP leggibili da computer come "173.194.67.102".
Per saperne di più: HTG spiega: Cos'è il DNS?
Cache DNS
Internet non ha un solo server DNS, in quanto sarebbe estremamente inefficiente. Il provider di servizi Internet gestisce i propri server DNS, che memorizzano le informazioni da altri server DNS. Il router di casa funziona come server DNS, che memorizza le informazioni sui server DNS dell'ISP. Il tuo computer ha una cache DNS locale, quindi può fare rapidamente riferimento alle ricerche DNS già eseguite piuttosto che eseguire una ricerca DNS più e più volte.
Avvelenamento da cache DNS
Una cache DNS può diventare avvelenata se contiene una voce errata. Ad esempio, se un utente malintenzionato ottiene il controllo di un server DNS e modifica alcune informazioni su di esso, ad esempio, potrebbe dire che google.com punta effettivamente a un indirizzo IP di proprietà dell'utente malintenzionato: il server DNS potrebbe dire agli utenti di guardare per Google.com all'indirizzo sbagliato. L'indirizzo dell'attaccante potrebbe contenere una sorta di sito Web dannoso di phishing
Anche l'avvelenamento da DNS come questo può diffondersi. Ad esempio, se vari provider di servizi Internet ottengono le loro informazioni DNS dal server compromesso, la voce DNS avvelenata si diffonderà ai provider di servizi Internet e verrà memorizzata nella cache. Si diffonderà quindi sui router domestici e sulle cache DNS sui computer mentre cercano la voce DNS, ricevono la risposta errata e la memorizzano.
Il grande firewall della Cina si diffonde negli Stati Uniti
Questo non è solo un problema teorico: è accaduto nel mondo reale su larga scala. Uno dei modi in cui funziona il Great Firewall della Cina è attraverso il blocco a livello DNS. Ad esempio, un sito Web bloccato in Cina, come twitter.com, potrebbe avere i record DNS puntati su un indirizzo errato sui server DNS in Cina. Ciò comporterebbe l'inaccessibilità di Twitter con mezzi normali. Pensa a questo come la Cina avvelena intenzionalmente le proprie cache dei server DNS.
Nel 2010, un fornitore di servizi Internet al di fuori della Cina ha erroneamente configurato i propri server DNS per recuperare informazioni dai server DNS in Cina. Ha recuperato i record DNS errati dalla Cina e li ha memorizzati nella cache sui propri server DNS. Altri provider di servizi Internet hanno recuperato le informazioni DNS da quel provider di servizi Internet e lo hanno utilizzato sui loro server DNS. Le voci DNS avvelenate hanno continuato a diffondersi fino a quando alcune persone negli Stati Uniti non hanno potuto accedere a Twitter, Facebook e YouTube sui loro fornitori di servizi Internet americani. Il Great Firewall della Cina era "trapelato" al di fuori dei suoi confini nazionali, impedendo alle persone di altre parti del mondo di accedere a questi siti web. Questo essenzialmente funzionava come un attacco di avvelenamento DNS su larga scala. (Fonte.)
La soluzione
Il vero motivo per cui l'avvelenamento della cache DNS è un problema di questo tipo è perché non esiste un vero modo per determinare se le risposte DNS che ricevi siano effettivamente legittime o se siano state manipolate.
La soluzione a lungo termine per l'avvelenamento della cache DNS è DNSSEC. DNSSEC consentirà alle organizzazioni di firmare i propri record DNS utilizzando la crittografia a chiave pubblica, assicurando che il computer sappia se un record DNS deve essere considerato attendibile o se è stato avvelenato e reindirizzato a una posizione errata.