Прошло почти пять лет с момента, как специалист по -безопасности Дэн Камински в 2008 году описал новый способ атаки на кэш DNS-сервера. Так называемый DNS-спуфинг или просто «атака Каминского» ведёт к компрометации данных с внедрением в кэш фальшивых DNS-записей, чтобы перенаправить пользователей на сервер, контролируемый злоумышленником.
Атака возможна в случае, если сервер не проверяет ответы DNS на корректность, чтобы убедиться в их авторитетном источнике (например, при помощи DNSSEC — DNS Security Extensions). Если проверка не осуществляется, то сервер будет кэшировать некорректные ответы локально и использовать их для ответов на запросы других пользователей, пославших такие же запросы.
Собственные DNS-серверы имеются во многих крупных компаниях. Их устанавливают ради ускорения процесса трансляции имен для пользователей внутри компании. Удивительно, но даже спустя пять лет после описания проблемы большинство корпоративных DNS-серверов так и не внедрили проверку запросов через DNSSEC. Этот факт обнаружился в результате исследования Национального института стандартов и технологий (NIST) среди американских компаний. Оказалось, что только 1% коммерческих компаний и 5% академических учреждений сконфигурировали свои DNS-серверы должным образом.
К аналогичным выводам пришли специалисты DNS-вендора Secure64. Например, по их информации, 49 из 50 крупнейших медиакомпаний так и не внедрили поддержку DNSSEC. По состоянию на ноябрь 2012 года даже ни один из крупнейших 60 интернет-провайдеров в США не защитился от потенциального DNS-спуфинга. Единственным исключением является медиакомпания и интернет-провайдер Comcast. Среди государственных агентств большинство выглядят хорошо, потому что они по закону были обязаны сделать апгрейд до 31 декабря 2009 года.
DNSSEC — набор спецификаций IETF, обеспечивающих безопасность информации, предоставляемой средствами DNS. В основе протокола лежит метод цифровой подписи ответов на запрос DNS lookup. Для этого было создано несколько типов DNS записей, в их числе RRSIG, DNSKEY, DS и NSEC. Вся информация о защищённом домене зашифрована, она может быть изменена только при помощи закрытого ключа шифрования.
Алгоритм работы DNSSEC показан на схеме.
