Атака перехвата DNS, также называемая DNS Poisoning или DNS Spoofing, - это тактика, обычно используемая авторитарными режимами для ограничения доступа, блокировки и цензуры контента в интернете.
Такая цензура может быть достигнута путем принуждения местных интернет-провайдеров (ISP) к осуществлению перехвата или путем мониторинга и проверки трафика непосредственно в стратегических точках маршрутизации. Самым ярким примером перехвата DNS является Великий Брандмауэр.
Что такое DNS?
Каждый веб-сайт имеет IP-адрес, который связан с его URL сервером доменных имен (DNS). Когда вы вводите URL в адресную строку вашего браузера, адрес посылается на DNS-сервер.
DNS-сервер хранит записи IP-адресов каждого веб-сайта и соответствующие ему URL-адреса, которые ищет ваш компьютер, чтобы подключиться к введенному URL-адресу. Это очень напоминает телефонную книгу, в которой перечислены имена людей вместе с их физическими адресами. На DNS-сервере в качестве имени выступает URL, а IP-адрес - это адрес.
Система доменных имен, как правило, управляется вашим интернет-провайдером, но вы можете обойти его, изменив настройки.
Перенаправление DNS
Стоит знать, что когда компьютер обращается к DNS-серверу для разрешения имен IP-адресов, он не выполняет адекватных проверок, чтобы убедиться, что подключается к нужному DNS-серверу. По этой причине любой ПК может получить неверный ответ и, как следствие может быть взломан злоумышленником.
DNS сервер также может заменить IP адрес сайта, который вы хотите посетить, на IP адрес другого сайта. Подобное перенаправление DNS позволяет опытному взломщику выдавать себя за любой веб-сайт, собирая личную информацию, такую как пароли и IP-адреса.
DNS-спуфинг для цензуры в интернете
Многие страны вводят цензуру в интернете, требуя от провайдеров интернет-услуг удалять определенные домены со своих серверов DNS, хотя эту форму цензуры относительно легко обойти.
Но когда авторитарный режим контролирует вся сеть, он может полностью заблокировать непричастные DNS-серверы или использовать Deep Packet Inspection для выборочной блокировки или неправильного направления запросов.
Как предотвратить угон DNS?
DNSSEC (расширения безопасности системы доменных имен) - это своего рода тест на перехват DNS, или, скорее, защита, позволяющая компьютеру проверить целостность DNS-сервера, к которому он подключается, с помощью шифрования. Использование DNSSEC значительно снижает риск того, что злоумышленник выдаст себя за DNS, хотя, в отличие от HTTPS в веб-серверах, одному пользователю будет нелегко все настроить, проверить и проконтролировать.
Как защититься от цензуры местного интернет-провайдера?
Вы можете защитить себя от цензуры местного ISP, изменив настройки DNS-сервера. Вы также можете изменить свой DNS-сервер на автономную DNS-службу, такую как Google DNS или OpenDNS. Выбор хорошего DNS-сервера вызывает серьезные опасения по поводу конфиденциальности, поскольку они будут видеть каждый домен, к которому вы пытаетесь подключиться. Но это также отличная причина для того, чтобы вырвать эту власть из рук вашего интернет-провайдера.
