Η Google έχει αρχίσει σε γενικές γραμμές να επιτρέπει την τυχαιοποίηση περιπτώσεων σε ερωτήματα domains (domain queries) που αποστέλλονται σε έγκυρους name servers, σε μια προσπάθεια να καταστήσει λιγότερο αποτελεσματικές τις επιθέσεις δηλητηρίασης της κρυφής μνήμης (cache poisoning attacks).
Αυτό σημαίνει ότι τα ερωτήματα για ένα domain όπως το iguru.gr, αν τα χειρίζεται το Google Public DNS, θα μπορούσαν να διαμορφωθούν ξανά στο IgUrU.gr όταν το αίτημα μεταδοθεί σε DNS servers για αναζήτηση. Αν και αυτό θα μπορεί να γίνει αντιληπτό από τους διαχειριστές που ελέγχουν την κυκλοφορία του δικτύου, η συγκεκριμένη μορφοποίηση δεν είναι ορατή στο ευρύ κοινό.
Όταν οι χρήστες προσπαθούν να επισκεφτούν μια σελίδα όπως το iguru.gr – με όποιο πρόγραμμα περιήγησης ή εφαρμογή χρησιμοποιούν, ουσιαστικά ρωτούν το domain name του ιστότοπου χρησιμοποιώντας το Domain Name System (DNS) για να ανακαλύψουν τις διευθύνσεις IP των διακομιστών που φιλοξενούν τον ιστότοπο. Ένα τέτοιο ερώτημα DNS συνήθως περνά μέσα από μια αναδρομική υπηρεσία DNS που έρχεται σε επαφή με άλλους διακομιστές ονομάτων μέχρι να λάβει τελικά μια απάντηση από έναν έγκυρο διακομιστή ονομάτων.
Για να επιταχυνθεί αυτή η διαδικασία πολλαπλών βημάτων, οι απαντήσεις ερωτημάτων DNS ενδέχεται να αποθηκεύονται προσωρινά από αυτούς τους ενδιάμεσους διακομιστές ονομάτων. Αυτό ανοίγει την πιθανότητα επιθέσεων δηλητηρίασης της κρυφής μνήμης.
Μια τέτοια επίθεση περιλαμβάνει την επίθεση σε έναν από αυτούς τους ενδιάμεσους διακομιστές ονομάτων με πάρα πολλά DNS queries για domains που δεν βρίσκονται στη μνήμη cache. Στη συνέχεια, ο διακομιστής-θύμα επικοινωνεί με άλλους name servers που μπορούν να τον βοηθήσουν να απαντήσει σε αυτά τα ερωτήματα. Ταυτόχρονα, ο εισβολέας πλημμυρίζει τον διακομιστή του θύματος με ψευδείς απαντήσεις που μεταμφιέζονται για να μοιάζουν με νόμιμες απαντήσεις από αυτούς τους άλλους name servers.
Ο στόχος του hacker είναι να πείσει τον διακομιστή του θύματος να αποδεχτεί μία ή περισσότερες από αυτές τις πλαστές απαντήσεις – και να αποθηκεύσει προσωρινά αυτήν τη λάθος απάντηση – έτσι ώστε να μπορεί να επωφεληθεί από την εσφαλμένη κατεύθυνση.
Όλα αυτά είναι δυνατά επειδή οι διακομιστές DNS βασίζονται στο UDP – ένα πρωτόκολλο δικτύου που είναι ταχύτερο από το TCP, αλλά δεν παρέχει εγγυήσεις στις συνδέσεις και κατά συνέπεια, είναι πιο ευάλωτο σε πλαστογράφηση. Λειτουργεί επίσης επειδή τα DNS query IDs είναι πεδία των 16-bit, που σημαίνει ότι οι πιθανές τιμές τους μπορεί να κυμαίνονται μόνο από το 0 έως το 65.535 – ένα αρκετά μικρό εύρος για να μαντέψετε με ένα κατακλυσμό κακόβουλων αιτημάτων.
Υπάρχει μια λεπτομερής ανάλυση αυτής της επίθεσης εδώ αν είστε περίεργοι. Και, ναι, το DNSSEC υποτίθεται ότι αποτρέπει αυτού του είδους τις επιθέσεις δηλητηρίασης προσωρινής μνήμης, όταν υποστηρίζεται και χρησιμοποιείται.
