DNS spoofing je útok, který uživatele nasměruje na falešný web, nikoli na web, na který se snaží dostat. Využívá zranitelnost v protokolu UDP a vyžaduje bezpečnostní opatření, jako je DNSSEC (Domain Name System Security Extension), aby tomu zabránila.
Spoofing systému doménových jmen (DNS) je praxe přesměrování uživatelů internetu na padělanou stránku, když se pokoušejí vstoupit na stránku. Toho je dosaženo překladem doménových jmen na IP adresy.
Aby se počítače připojené k internetu mohly vzájemně identifikovat a komunikovat, musí mít každý počítač jedinečnou IP adresu, která je vytvořena podle internetového protokolu (IP). Protokoly jsou komunikační konvence, které počítače používají ke vzájemnému propojení a odesílání dat a jsou implementovány v softwaru nebo hardwaru. Nejčastěji používané IP adresy jsou dnes reprezentovány čísly ve čtyřech polích oddělených tečkami, například „***.126.63.1“. Tato adresa by neměla být duplicitní nebo náhodná a měla by mít přidělenou veřejnou IP adresu.
Existují dva typy veřejných IP adres: statické IP adresy, které trvale používají stejné číslo, a dynamické IP adresy, které lze přečíslovat. Dynamické IP adresy jsou přidělovány protokolem zvaným DHCP. DHCP přijímá požadavky od počítačů, které potřebují IP adresu, a přiděluje jim ji, a když počítač přestane IP adresu používat, adresa se vrátí, aby ji mohl použít jiný počítač. Na druhou stranu existují i privátní IP adresy, které nejsou přímo přístupné internetu a identifikují se pouze na vnitřních sítích.
Internet funguje na základě veřejných IP adres, ale když používáme internet, používáme místo IP adres doménová jména, která jsou pro snadné použití složena ze znaků jako „www...“. DNS potřebujeme k překladu doménových jmen na IP adresy a zařízení, na kterých běží DNS, se nazývají jmenné servery. Váš počítač potřebuje mít zaznamenanou IP adresu nameserveru, a zatímco počítač s dynamickou IP adresou bude mít IP adresu nameserveru automaticky zaznamenána, když obdrží IP adresu, počítač se statickou IP adresou bude muset mít IP adresu nameserveru zaznamenána ručně uživatelem. Poskytovatelé internetových služeb provozují jmenné servery, které sdílejí jejich předplatitelé.
DNS je nezbytnou součástí internetové komunikace a rychlý a přesný překlad doménových jmen má významný dopad na uživatelskou zkušenost internetu. Výkon a zabezpečení DNS jsou zvláště důležité pro weby a podniky, které zpracovávají velké objemy provozu. Pokud DNS server selže nebo je hacknutý, může to způsobit masivní výpadek služby. Například útok Dyn DNS v roce 2016 způsobil zmatek a zničil mnoho významných webových stránek.
Pojďme se podívat, jak se uživatel běžně připojuje k webu. Počítač, který se pokouší o přístup na webovou stránku, se nazývá klient. Když uživatel zadá název domény webu, který chce navštívit, do adresního řádku (nebo jej vyhledá na portálovém webu a klepne na něj), klient odešle paket dotazu na jmenné servery podle záznamu s dotazem na IP adresu odpovídající názvu domény. Pokud je IP adresa v jeho seznamu, nameserver odešle paket s odpovědí, který klientovi sdělí IP adresu. Paket odpovědi udává, na který paket dotazu odpovídá. Pokud IP adresa není uvedena, jmenný server odešle paket s odpovědí, který klientovi sdělí IP adresu jiného jmenného serveru, a klient se vrátí k odeslání paketu dotazu tomuto jmennému serveru a proces zopakuje. Klient používá IP adresu k nalezení webu. Nameservery a klienti posílají pakety tam a zpět pomocí protokolu zvaného UDP. Aby bylo zajištěno rychlé odesílání paketů, UDP odesílá pakety pouze druhé straně a nekontroluje příchod; důvěřuje prvnímu paketu odpovědi, který dorazí pro konkrétní dotazovací paket, a další paket zahodí bez kontroly. DNS spoofing využívá těchto děr v UDP.
Pojďme se podívat, jak DNS spoofing funguje. Počítač infikovaný škodlivým kódem, který provádí DNS spoofing, se nazývá útočník. Když klient odešle dotazovací paket na nameserver s dotazem na konkrétní IP adresu, paket je předán útočníkovi, který odešle paket s odpovědí klientovi s IP adresou falešného webu. Paket odpovědi od útočníka dorazí ke klientovi před paketem odpovědi z nameserveru a klient rozpozná paket odpovědi od útočníka jako správný a je přesměrován na falešný web.
Proto je důležité přijmout bezpečnostní opatření, jako je Domain Name System Security Extension (DNSSEC), aby se zabránilo útokům falšování DNS. DNSSEC ověřuje integritu a původ DNS dat a umožňuje klientům ověřit, že data, která obdrží, jsou důvěryhodná. Správci sítě by také měli pravidelně monitorovat servery DNS a detekovat anomální aktivitu, aby mohli okamžitě reagovat. Je také důležité, aby koncoví uživatelé dodržovali základní bezpečnostní postupy, jako je používání důvěryhodného bezpečnostního softwaru a nenavštěvování podezřelých webových stránek.
