отравяне на DNS кеша

Когато DNS-сървър получава неистински данни и да ги кешира за оптимизиране на работата, тя става отровна и започва предоставяне на неистински данни на своите клиенти.

Обикновено, на компютъра в мрежата използва DNS-сървъра, предоставена от вашата организация или доставчик на интернет услуги. DNS сървъри често се инсталират в мрежа от организации за ускоряване на процеса на превод посредством кеша на имена преди това са получавали отговор на молбите. Атаката на DNS-сървър може да се отрази на работата на потребителите на този сървър, или дори на потребителите на други сървъри, отнасящи се до отравяне.

Искането от DNS-сървър на жертвата: Каква е A-рекорд за subdomain.attacker.example?

Замяна на NS-рекорд за друг домейн жертва

DNS-сървър Заявка: Какво е най-A-рекорд за subdomain.attacker.example?

Сървърът не спаси жертвата, свързани с искане за информация относно NS-рекорд за target.example в кеш паметта, което позволява на нападателя да отговори на по-нататъшни искания за всички target.example домейн.

Предотвратяване на атаки и брояч

Много атаки срещу кеш паметта може да бъде предотвратено от страна на DNS сървъри чрез намаляване на надеждността на информацията, идваща от друга страна на DNS сървъри, или дори като се изключат всички DNS-записи, които не са пряко свързани с искането. Например, последните версии на BIND (версия 9, 10) работят като потвърждение. Значително намаляване на вероятността от успешна атака на кеша може да използвате случайни UDP-портове за извършване на DNS-заявки.

Атаките на кеш паметта и може да бъде противопоставено на транспортния слой на модела OSI, или на ниво приложение. и тъй като цифрови подписи могат да се използват при тези нива. Така например, в сигурна версия на HTTP - HTTPS потребител може да провери дали сървърът, към който е свързан, подписа сертификат и на кого принадлежи на сертификата. Подобен ниво на сигурност е SSH, когато клиентската програма проверява цифровия подпис на отдалечения сървър при установяване на връзка. Свързване чрез IPSEC няма да бъде създадена, ако клиентът и сървърът няма да се знае предварително, заведено срещу ключове EDS. Приложения, които се зареждат техните актуализации автоматично, може да са изградени подписа сертификат и удостоверяват актуализацията чрез сравняване на сървъра за подпис актуализация с вграден сертификат.