DNS pozoitzea

DNS pozoitzea (DNS cachearen pozoitzea ere esaten zaio) zibererasoetan erabiltzen den teknika bat da: informazio faltsua sartzen da DNS zerbitzari baten cachean zerbitzariak kontsultetan iruzurrezko erantzuna itzul dezan. Horren ondorioz, erabiltzaileak zuzentzen dira erasotzaileak kontrolatutako webgune batera.

Teknika horrek nola funtzionatzen duen ondo ulertzeko, lehenik eta behin DNS zerbitzariak eta beren cachea zer diren eta nola funtzionatzen duten jakin behar da.

DNS zerbitzariak domeinu-izenak IP helbide bihurtzeko Interneten erabiltzen diren sistemak dira. Bestela esanda: webgune batera sartzen garenean, sistema horiek laguntzen dute gizakiek irakurtzeko modukoak eta gogoan errazago hartzekoak diren domeinu-izenak (adibidez, https://www.euskadi.eus/) ordenagailuek irakurtzeko moduko IP helbide (195.53.88.257) bihurtzen.

DNS sistemak modu hierarkikoan funtzionatzen du. Bere funtzioa betetzeko, DNS zerbitzari batek DNS ebazpen-prozesuan parte hartzen duten beste zerbitzari batzuekin komunikatu behar du. Kasu tipiko bat irudikatuko dugu: bezero batek eskaera bat egiten dio DNS zerbitzariari URL bat bihurtzeko. Oso modu sinplean azaltzeko, DNS zerbitzaria beste zerbitzari batzuekin komunikatuko da, eta galdetuko die ea baten batek URL helbidea ezagutzen ote duen, erantzun bat lortu arte. Demagun ondoren eskaera bat jasotzen duela domeinu bera ebazteko. Beste zerbitzariekin berriro komunikatu behar izan beharrean, zerbitzariak askoz azkarrago eta efizienteago erantzun lezake kontsulten erantzunak denbora-tarte jakin batean gordetzen baditu. Aldi baterako gordetzen diren erantzun horiek cache memorian gordetzen dira.

DNS pozoitze-eraso batean, erasotzaileek DNS izen-zerbitzarien izenean jarduten dute, eta DNS zerbitzariak itzuliko dituen erantzunak “pozoitutako” cachearekin faltsifikatzen saiatzen dira. Cachea pozoitzea posible egiten duten arrazoiei dagokienez, besteak beste TCPren ordez UDP konexioak erabiltzearen eta jasotako informazioa ez egiaztatzearen ondorio dira.

Kalteberatasun horiek gorabehera, gaur egun ez dira errazak DNS pozoitze-erasoak. Erasotzaileek denbora-tarte txiki bat besterik ez dute erantzun faltsua bidaltzeko erantzun erreala iritsi baino lehen, eta zenbait aldagai kontuan hartu beharko dituzte (zer kontsulta egingo den, zein atakatan ari den zerbitzaria entzuten edo zein zerbitzariri egingo zaion kontsulta).

Kalteberatasun horien aurrean, DNSSEC bezalako zehaztapenak daude; jasotako datuak eta haien jatorria egiaztatzeko TCP konexioak eta gako publikoaren kriptografia erabiltzen dituzte, haien funtzionamendua seguruagoa eginez eta DNS pozoitzea prebenitzen lagunduz. Nolanahi ere, DNSSECen zehaztapenak 2005ean argitaratu ziren arren, oraindik ez dago behar lukeen bezain hedatua, eta, beraz, badaude horrelako erasoekiko kalteberak izaten jarraitzen duten DNS zerbitzariak.