Karena itu, kueri DNS Anda sekarang memiliki kapitalisasi acak • The Register

Google telah mulai mengizinkan pengacakan kasus secara luas dalam kueri domain yang dikirim ke server nama otoritatif untuk membuat serangan peracunan cache menjadi kurang efektif.

Ini berarti kueri untuk domain seperti example.com, saat diproses oleh DNS Publik Google, dapat diformat ulang ke eXaMpLe.com saat permintaan dikirim ke server DNS untuk pencarian. Meskipun hal ini dapat diperhatikan oleh administrator yang memeriksa lalu lintas jaringan, pemformatan yang tajam tidak terlihat oleh masyarakat umum, jadi tidak ada yang lebih bijak – jika semuanya berjalan dengan baik.

Saat pengguna mencoba mengunjungi situs web – seperti Misalnya, untuk mengunjungi thereregister.com, browser atau aplikasi yang Anda gunakan menanyakan nama domain situs web menggunakan Sistem Nama Domain (DNS) untuk menentukan alamat IP server yang menghosting situs web . Permintaan DNS seperti itu biasanya melewati layanan DNS rekursif yang menghubungi server nama lain hingga akhirnya mendapat respons dari server nama yang berwenang.

Untuk mempercepat proses multi-langkah ini, respons kueri DNS dapat di-cache oleh server nama perantara ini. Ini membuka kemungkinan Serangan Keracunan Cache.

Salah satu serangan tersebut terdiri dari memukul salah satu server nama perantara ini dengan serangkaian permintaan DNS untuk domain yang tidak ada dalam cache-nya. Server korban kemudian menghubungi server nama lain yang dapat membantu menjawab permintaan tersebut. Pada saat yang sama, penyerang membanjiri server korban dengan respons palsu yang disamarkan agar terlihat seperti respons sah dari server nama lain tersebut.

Tujuan permainan ini adalah untuk mengelabui server korban agar menerima satu atau lebih tanggapan palsu ini – dan menyimpan tanggapan palsu tersebut – sehingga penjahat dapat mengeksploitasi penyesatan tersebut. Misalnya, respons palsu dapat meneruskan nama domain yang berharga — seperti superbigbank.com — ke server yang menyamar sebagai bank dan mencuri kredensial orang. Jika server korban menyimpan informasi buruk ini, browser dan aplikasi yang nantinya menggunakan server ini untuk terhubung ke superbigbank.com akan berakhir di alamat IP yang salah.

Ini semua dimungkinkan karena server DNS mengandalkan UDP — protokol jaringan yang lebih cepat daripada TCP tetapi tidak memberikan jaminan apa pun untuk koneksi dan karena itu lebih rentan terhadap spoofing. Ini juga berfungsi karena ID kueri DNS adalah bidang 16-bit, artinya nilainya yang mungkin hanya dapat berkisar dari 0 hingga 65.535 — rentang yang cukup kecil untuk terus menebak dengan rentetan permintaan jahat.

Ada rincian rinci dari serangan ini di sini jika Anda penasaran Dan ya, DNSSEC dimaksudkan untuk menggagalkan jenis serangan peracunan cache ini, jika didukung dan digunakan.

Sudah pada tahun 2008 Internet Engineering Task Force (IETF) menerbitkan a usulan desain untuk melindungi dari keracunan cache. “Penggunaan Bit 0x20 dalam Label DNS untuk Meningkatkan Identitas Transaksi” menjelaskan cara mengacak kasus huruf yang digunakan dalam kueri.

Teknik ini disebut pengkodean DNS 0x20, mengacu pada angka heksadesimal 0x20 (32 dalam desimal) dan hubungannya dengan karakter ASCII. Representasi binernya (0b100000) memiliki semua bit yang disetel ke nol kecuali yang kelima, dihitung dari nol—yang, untuk karakter ASCII, menentukan apakah sebuah huruf adalah huruf besar atau kecil. Misalnya, 01000001 (65 desimal) adalah kode ASCII untuk huruf kapital A, sedangkan 01100001 (desimal 97) adalah kode ASCII untuk huruf a kecil.

Dijelaskan lebih rinci dalam a sebuah karya ilmiah [PDF]Pengkodean DNS 0x20 memperluas kemungkinan penyerang untuk menebak tanpa membingungkan resolusi nama DNS dan alamat IP.

Pada dasarnya, Anda secara acak mengaktifkan bit 0x20 dalam kueri untuk mengacaukan kasus, mengirimkannya untuk dipecahkan, dan mengharapkan respons berisi kasus yang cocok sama. Jika kasus tidak cocok, Anda mungkin terjebak dalam serangan peracunan cache, karena penyerang tidak mengetahui bit kasus mana yang Anda setel atau hapus saat Anda melakukan peracunan.

Server DNS sebagian besar tidak membedakan antara kueri dalam HURUF BESAR, huruf kecil, atau campuran keduanya. Tetapi kerumitan tambahan kueri kasus campuran relatif terhadap panjang nama domain sangat penting bagi penyerang. “Setiap bit pengkodean DNS 0x20 menggandakan pekerjaan yang harus dilakukan penyerang untuk mencapai hasil peracunan yang serupa,” makalah tersebut menjelaskan.

Google telah mempermainkan ide tersebut sejak 2009, ketika mulai menguji pertahanan peracunan cache pada sejumlah kecil server nama. Agustus lalu, raksasa pencarian dan periklanan mulai menggunakan teknologi secara lebih luas.

“Nama kueri acak peka huruf besar-kecil dalam permintaan diharapkan sama persis dengan nama di bagian pertanyaan dari respons server DNS, termasuk kasus setiap huruf ASCII (A-Z dan a-z)” dijelaskan Insinyur perangkat lunak Google Tianhao Chi dalam sebuah posting di milis DNS Publik Google. “Misalnya, jika ‘ExaMplE.CoM’ adalah nama yang dikirim dalam permintaan, nama di bagian pertanyaan dari respons juga harus ‘ExaMplE.CoM’ dan bukan mis. ‘contoh.com’. Tanggapan yang tidak mempertahankan kasus nama kueri dapat dibuang sebagai potensi serangan peracunan cache.”

Chi memperhatikan bahwa hanya sejumlah kecil server nama (kurang dari 1.000 alamat IP) yang tidak menangani pengacakan kasus dengan benar.

Selasa Chi dikatakan bahwa raksasa web tersebut telah berhasil menerapkan pengacakan kasus untuk beberapa wilayah di Amerika Utara, Eropa, dan Asia, mencakup sekitar 90 persen kueri yang belum dilindungi oleh DNS melalui TLS.

“Kami masih meluncurkan fitur ini secara bertahap, situs demi situs,” kata Chi. “Ini lebih lambat dari yang direncanakan semula karena uji tuntas dan perkiraan aktivasi global kami sekitar Maret-April 2023.”

Chi mengatakan bahwa Google sedang mencari masalah dari server nama yang tidak sesuai dan merekomendasikan agar server nama mempertahankan kasus permintaan dalam respons atau mendukung TCP sebagai cadangan.

Secara keseluruhan, internet seharusnya sedikit lebih aman. ®