Penipuan DNS ialah serangan yang mengarahkan pengguna ke tapak palsu dan bukannya tapak web yang mereka cuba akses. Ia mengeksploitasi kelemahan dalam protokol UDP dan memerlukan langkah keselamatan seperti DNSSEC untuk menghalangnya.
DNS (Domain Name System) spoofing ialah amalan mengarahkan pengguna internet ke tapak palsu apabila mereka cuba mengakses tapak. Ini dicapai dengan menterjemahkan nama domain ke dalam alamat IP.
Untuk membolehkan komputer yang disambungkan ke internet mengenal pasti dan berkomunikasi antara satu sama lain, setiap komputer mesti mempunyai alamat IP yang unik, yang dicipta mengikut Internet Protocol (IP). Protokol ialah konvensyen komunikasi yang digunakan komputer untuk menyambung dan menghantar data antara satu sama lain dan dilaksanakan dalam perisian atau perkakasan. Alamat IP yang paling biasa digunakan hari ini diwakili oleh nombor dalam empat medan dengan sempadan titik, seperti "***.126.63.1". Alamat ini tidak boleh disalin atau rawak, dan harus diberikan alamat IP awam.
Terdapat dua jenis alamat IP awam: alamat IP statik, yang secara konsisten menggunakan nombor yang sama dan alamat IP dinamik, yang boleh dinomborkan semula. Alamat IP dinamik diberikan oleh protokol yang dipanggil DHCP. DHCP menerima permintaan daripada komputer yang memerlukan alamat IP dan memberikannya kepada mereka, dan apabila komputer berhenti menggunakan alamat IP, ia mengembalikan alamat tersebut supaya komputer lain boleh menggunakannya. Sebaliknya, terdapat juga alamat IP peribadi, yang tidak boleh diakses secara langsung ke Internet dan hanya mengenal pasti satu sama lain pada rangkaian dalaman.
Internet berfungsi berdasarkan alamat IP awam, tetapi apabila kami menggunakan Internet, kami menggunakan nama domain dan bukannya alamat IP, yang terdiri daripada aksara untuk kemudahan penggunaan, seperti 'www..'. Kami memerlukan DNS untuk menterjemah nama domain ke dalam alamat IP, dan peranti yang menjalankan DNS dipanggil pelayan nama. Komputer anda perlu mempunyai alamat IP pelayan nama direkodkan dan sementara komputer dengan alamat IP dinamik akan mempunyai alamat IP pelayan nama secara automatik direkodkan apabila ia menerima alamat IP, komputer dengan alamat IP statik perlu mempunyai alamat IP pelayan nama. direkodkan oleh pengguna. Pembekal perkhidmatan Internet mengendalikan pelayan nama yang dikongsi oleh pelanggan mereka.
DNS ialah komponen penting dalam komunikasi Internet, dan terjemahan nama domain yang pantas dan tepat mempunyai kesan yang besar terhadap pengalaman pengguna Internet. Prestasi dan keselamatan DNS amat penting untuk tapak dan perniagaan yang mengendalikan jumlah trafik yang besar. Jika pelayan DNS rosak atau digodam, ia boleh menyebabkan gangguan perkhidmatan secara besar-besaran. Sebagai contoh, serangan Dyn DNS pada tahun 2016 telah mendatangkan malapetaka, menghapuskan banyak tapak web utama.
Mari kita lihat cara pengguna biasanya menyambung ke tapak. Komputer yang cuba mengakses laman web dipanggil klien. Apabila pengguna menaip nama domain tapak yang ingin mereka lawati ke dalam bar alamat (atau mencarinya di tapak portal dan mengklik padanya), pelanggan menghantar paket pertanyaan kepada pelayan nama dalam rekod, meminta alamat IP sepadan dengan nama domain. Jika alamat IP berada dalam senarainya, pelayan nama menghantar paket balasan yang memberitahu klien alamat IP. Paket tindak balas menunjukkan paket pertanyaan yang mana ia bertindak balas. Jika alamat IP tidak disenaraikan, pelayan nama menghantar paket balasan yang memberitahu klien alamat IP pelayan nama lain, dan klien kembali menghantar paket pertanyaan kepada pelayan nama itu dan mengulangi proses tersebut. Pelanggan menggunakan alamat IP untuk mencari tapak. Pelayan nama dan pelanggan menghantar paket ke sana ke mari menggunakan protokol yang dipanggil UDP. Untuk memastikan paket dihantar dengan cepat, UDP hanya menghantar paket kepada pihak lain dan tidak menyemak ketibaan; ia mempercayai paket respons pertama yang tiba untuk paket pertanyaan tertentu dan membuang paket seterusnya tanpa menyemak. Penipuan DNS mengambil kesempatan daripada lubang ini dalam UDP.
Mari kita lihat cara penipuan DNS berfungsi. Komputer yang dijangkiti kod berniat jahat yang melakukan penipuan DNS dipanggil penyerang. Apabila pelanggan menghantar paket pertanyaan kepada pelayan nama meminta alamat IP tertentu, paket itu dimajukan kepada penyerang, yang menghantar paket respons kepada klien dengan alamat IP tapak palsu. Paket tindak balas daripada penyerang tiba kepada klien sebelum paket tindak balas daripada pelayan nama, dan pelanggan mengiktiraf paket tindak balas daripada penyerang sebagai paket yang betul dan diarahkan ke tapak palsu.
Oleh itu, adalah penting untuk mengambil langkah keselamatan seperti Sambungan Keselamatan Sistem Nama Domain (DNSSEC) untuk mengelakkan serangan spoofing DNS. DNSSEC mengesahkan integriti dan asal usul data DNS, membolehkan pelanggan mengesahkan bahawa data yang mereka terima adalah boleh dipercayai. Pentadbir rangkaian juga harus sentiasa memantau pelayan DNS dan mengesan aktiviti anomali supaya mereka boleh bertindak balas dengan segera. Ia juga penting bagi pengguna akhir untuk mengikuti amalan keselamatan asas, seperti menggunakan perisian keselamatan yang dipercayai dan tidak melawati tapak web yang mencurigakan.