Вы находитесь на странице: 1из 2

Envenenamento do Cache DNS

Original: http://linhadefensiva.uol.com.br/informativos/definicoes/envenenamento-cache-dns/
Informativos » Definições
Por Altieres Rohr em 04/04/2005
Para entender o envenenamento do cache de DNS, é necessário primeiro entender como funciona o
sistema de nomes de domínio.
Dá se o nome de cache para qualquer informação armazenada localmente para que não seja
necessário processá-la novamente. Por exemplo, o logotipo do Linha Defensiva está em todas as
páginas do site. Por este motivo, ao invés de fazer o download do logotipo para o seu computador
em cada página que você acessa, seu navegador armazenou em cache o logotipo.
Os servidores de DNS necessitam de diversas informações para resolver um domínio. Ao resolver
um domínio, o servidor de DNS automaticamente coloca em cache as informações do servidor que
o enviou a informação do IP para o domínio que ele procurou, inclusive as informações do servidor
raiz.
O que pode acontecer é que um servidor de nomes (NS) malicioso envie uma informação incorreta
sobre os endereços dos servidores raiz. Se o servidor de DNS estiver configurado corretamente,
nada deve acontecer. Se o servidor estiver configurado de forma incorreta, a entrada do servidor
raiz será substituída pela entrada enviada pelo servidor malicioso, ignorando aquela que está em
cache e colocando a nova como endereço verdadeiro.
Dessa forma, é possível substituir, por exemplo, o servidor raiz dos domínios .COM e fazer com
que todos os domínios finalizados com .COM sejam resolvidos para um IP malicioso. Isso ocorre
porque o servidor raiz falso está em cache e ele não enviará a informação correta dos domínios, a
não ser que o servidor de DNS seja reiniciado, pois assim o cache será limpo e ele vai buscar a
informação correta dos servidores raiz para colocá-as em cache. Porém, se o servidor de DNS
estiver configurado incorretamente, o problema pode voltar. Como um servidor DNS é utilizado por
diversos usuários, todos eles são afetados.

Formas de ativação
Para que um ataque seja ativado, tudo que é necessário é que um servidor DNS vulnerável conecte
em um servidor NS malicioso. Vamos supor que o domínio EXAMPLE.COM esteja com um
servidor de NS malicioso.
O servidor de DNS vai procurar o servidor raiz dos “.COM” e este lhe enviará a informação do
servidor NS do domínio EXAMPLE.COM. Quando o servidor DNS vulnerável conectar no NS
malicioso para receber o endereço IP do EXAMPLE.COM, o NS malicioso enviará também um
pacote especial contendo novas entradas para o servidor raiz dos domínios .COM. Quando este
servidor DNS vulnerável tentar novamente se conectar em um servidor raiz dos .COM, a entrada
maliciosa enviada pelo NS será usada e o domínio será resolvido para um IP incorreto, fazendo com
que as páginas exibidas em todos clientes que utilizam aquele DNS sejam páginas falsas.
Note que para o ataque ocorrer somente foi necessário que o domínio EXAMPLE.COM fosse
resolvido.
Um SPAM pode ser enviado para um endereço de e-mail com uma figura ou foto. Se esta foto
estiver hospeda no domínio EXAMPLE.COM, o cliente precisará do IP deste servidor para obter a
foto e, caso o servidor de DNS deste cliente que recebeu o e-mail seja vulnerável, o servidor será
afetado pelo problema.
Diversos trojans podem também forçar resoluções dos domínios maliciosos, fazendo com que o
servidor seja afetado.
O problema
É impossível você usar qualquer nome na web, como linhadefensiva.org sem um servidor DNS.
Ou seja, se você está aqui você provavelmente utiliza o servidor de DNS do seu provedor ou da sua
rede local para resolver estes domínios.
Se o servidor de DNS do seu provedor estiver afetado pela falha e qualquer um dos clientes tentar
resolver um domínio malicioso, todos os clientes serão afetados já que eles utilizam o mesmo
servidor de DNS. Essa situação é difícil de ocorrer em provedores, já que a maioria deles utiliza
servidores de DNS baseados em Linux que não são tão vulneráveis para ataques de envenenamento
do cache. Isso é mais comum em redes locais e empresas que utilizam servidores de DNS baseados
em Windows NT4 e Windows 2000, já que o Windows Server 2003 é seguro por padrão.

A Solução
Atualmente os problemas mais comuns estão em servidores de DNS rodando en Windows NT4 e
Windows 2000. A correção é uma mudança de configuração no registro:
http://support.microsoft.com/default.aspx?scid=kb;en-us;241352

Nome Alternativo
A imprensa deu o nome de pharming a essa técnica quando ela é usada em conjunto com ataques
de phishing.
Informativos » Definições