DNS विषाक्तता इतनी खतरनाक कारणों में से एक कारण यह है कि यह DNS सर्वर से DNS सर्वर तक फैल सकता है। 2010 में, एक डीएनएस विषाक्तता घटना के परिणामस्वरूप चीन की महान फायरवॉल अस्थायी रूप से चीन की राष्ट्रीय सीमाओं से बच निकल गई, जब तक कि समस्या ठीक नहीं हो गई, संयुक्त राज्य अमेरिका में इंटरनेट को सेंसर कर दिया गया।
कैसे DNS काम करता है
जब भी आपका कंप्यूटर "google.com" जैसे डोमेन नाम से संपर्क करता है, तो उसे पहले अपने DNS सर्वर से संपर्क करना होगा। DNS सर्वर एक या अधिक आईपी पते के साथ प्रतिक्रिया करता है जहां आपका कंप्यूटर google.com तक पहुंच सकता है। तब आपका कंप्यूटर सीधे उस संख्यात्मक आईपी पते से जोड़ता है। डीएनएस मानव-पठनीय पते जैसे "google.com" को कंप्यूटर-पठनीय आईपी पते जैसे "173.194.67.102" में परिवर्तित करता है।
और पढ़ें: एचटीजी बताता है: DNS क्या है?
डीएनएस कैशिंग
इंटरनेट में सिर्फ एक ही DNS सर्वर नहीं है, क्योंकि यह बेहद अक्षम होगा। आपका इंटरनेट सेवा प्रदाता अपने स्वयं के DNS सर्वर चलाता है, जो अन्य DNS सर्वर से जानकारी कैश करता है। आपका घर राउटर एक DNS सर्वर के रूप में कार्य करता है, जो आपके आईएसपी के DNS सर्वर से जानकारी कैश करता है। आपके कंप्यूटर में एक स्थानीय DNS कैश है, इसलिए यह DNS लुकअप को तुरंत देख सकता है जो पहले से ही एक बार DNS लुकअप करने के बजाए किया गया है।
डीएनएस कैश जहर
यदि इसमें गलत प्रविष्टि है तो एक DNS कैश जहरीला हो सकता है। उदाहरण के लिए, यदि कोई हमलावर किसी DNS सर्वर पर नियंत्रण प्राप्त करता है और उस पर कुछ जानकारी बदलता है - उदाहरण के लिए, वे कह सकते हैं कि google.com वास्तव में हमलावर के आईपी पते को इंगित करता है - कि DNS सर्वर अपने उपयोगकर्ताओं को देखने के लिए कहता है गलत पते पर Google.com के लिए। हमलावर के पते में कुछ प्रकार की दुर्भावनापूर्ण फ़िशिंग वेबसाइट हो सकती है
इस तरह डीएनएस विषाक्तता भी फैल सकती है। उदाहरण के लिए, यदि विभिन्न इंटरनेट सेवा प्रदाता समझौता किए गए सर्वर से अपनी DNS जानकारी प्राप्त कर रहे हैं, तो जहरीला DNS प्रविष्टि इंटरनेट सेवा प्रदाताओं में फैल जाएगी और वहां कैश किया जाएगा। फिर यह कंप्यूटर पर घर रूटर और DNS कैश में फैल जाएगा क्योंकि वे DNS प्रविष्टि देखते हैं, गलत प्रतिक्रिया प्राप्त करते हैं, और इसे स्टोर करते हैं।
चीन की महान फायरवॉल अमेरिका में फैलती है
यह सिर्फ एक सैद्धांतिक समस्या नहीं है - यह वास्तविक दुनिया में बड़े पैमाने पर हुआ है। चीन के ग्रेट फ़ायरवॉल कार्यों का एक तरीका DNS स्तर पर अवरुद्ध होने के माध्यम से है। उदाहरण के लिए, चीन में अवरुद्ध एक वेबसाइट, जैसे कि twitter.com, के DNS रिकॉर्ड में चीन के DNS सर्वर पर गलत पते पर इंगित किया जा सकता है। इसके परिणामस्वरूप ट्विटर सामान्य माध्यमों के माध्यम से पहुंच योग्य नहीं होगा। इस बारे में सोचें क्योंकि चीन जानबूझकर अपने स्वयं के DNS सर्वर कैश को जहरीला कर रहा है।
2010 में, चीन के बाहर एक इंटरनेट सेवा प्रदाता ने चीन में DNS सर्वर से जानकारी प्राप्त करने के लिए गलती से अपने DNS सर्वर कॉन्फ़िगर किए। इसने चीन से गलत DNS रिकॉर्ड्स प्राप्त किए और उन्हें अपने स्वयं के DNS सर्वर पर कैश किया। अन्य इंटरनेट सेवा प्रदाताओं ने उस इंटरनेट सेवा प्रदाता से DNS जानकारी प्राप्त की और इसे अपने DNS सर्वर पर उपयोग किया। जहरीले DNS प्रविष्टियां तब तक फैलती रही जब तक अमेरिका में कुछ लोगों को ट्विटर, फेसबुक और यूट्यूब को उनके अमेरिकी इंटरनेट सेवा प्रदाताओं पर पहुंचने से अवरुद्ध नहीं किया गया। चीन की महान फायरवॉल ने अपनी राष्ट्रीय सीमाओं के बाहर "लीक" की थी, जिससे इन वेबसाइटों तक पहुंचने से दुनिया में कहीं और लोगों को रोका जा रहा था। यह अनिवार्य रूप से एक बड़े पैमाने पर डीएनएस विषाक्तता हमले के रूप में काम किया। (स्रोत।)
समाधान
वास्तविक कारण DNS कैश विषाक्तता ऐसी समस्या है क्योंकि यह निर्धारित करने का कोई वास्तविक तरीका नहीं है कि आपके द्वारा प्राप्त DNS प्रतिक्रिया वास्तव में वैध हैं या फिर उनका उपयोग किया गया है या नहीं।
DNS कैश विषाक्तता का दीर्घकालिक समाधान DNSSEC है। DNSSEC संगठनों को सार्वजनिक-कुंजी क्रिप्टोग्राफ़ी का उपयोग करके अपने DNS रिकॉर्ड्स पर हस्ताक्षर करने की अनुमति देगा, यह सुनिश्चित करेगा कि आपका कंप्यूटर यह जान सके कि एक DNS रिकॉर्ड भरोसा किया जाना चाहिए या क्या यह जहर हो गया है और गलत स्थान पर रीडायरेक्ट किया गया है।
