บริการ Google Public DNS ประกาศเพิ่มมาตรการป้องกัน DNS Cache Poisoning ที่คนร้ายสร้าง DNS Reply โดยปลอมไอพีเป็น authoritive server มาตอบไอพีแทนเซิร์ฟเวอร์จริง หากสามารถยิง reply เข้าไปถึงกูเกิลก่อนที่ข้อความจากเซิร์ฟเวอร์จริงไปถึง ก็จะกลายเป็นว่าผู้ใช้จำนวนมากถูกส่งไปยังเซิร์ฟเวอร์ปลอมเป็นระยะเวลาหนึ่ง
ที่จริง IETF พยายามแก้ปัญหานี้แล้ว ด้วยมาตรฐาน DNS Cookies (RFC 7883) ที่เพิ่มค่า cookie ให้เซิร์ฟเวอร์ตอบค่าเดียวกันเท่านั้น ทำให้คนร้ายไม่สามารถเดาค่านี้ได้ แต่ในโลกความเป็นจริงเซิร์ฟเวอร์จำนวนมากไม่ได้รองรับฟีเจอร์นี้ โดยรวมมีคิวรีที่ได้รับการปกป้องจากกระบวนการนี้แค่ 10%
เมื่อปี 2022 กูเกิลจึงทดลองมาตรการที่มีการเสนอกันมาตั้งแต่ปี 2008 คือการสุ่มตัวเล็กใหญ่ในชื่อโดเมน ซึ่งโดยทั่วไปแล้วเซิร์ฟเวอร์ authoritive จะตอบกลับชื่อเดิมที่คิวรีเข้า ในกรณีที่คนร้ายพยายามปลอม DNS reply ก็จะไม่สามารถเดาได้ว่ากูเกิลสุ่มตัวเล็กใหญ่ไว้รูปแบบใด เนื่องจากเซิร์ฟเวอร์ส่วนใหญ่มีพฤติกรรมตรงกันทำให้ป้องกันได้เป็นวงกว้าง และตอนนี้กูเกิลก็เปิดฟีเจอร์นี้เป็นค่าเริ่มต้น ทำให้การคิวรีมากกว่า 90% ได้รับมาตรการปกป้องเพิ่มเติม ลดความเสี่ยงถูกโจมตี cache poisoning ลงแล้ว
มาตรการนี้เซิร์ฟเวอร์ authoritive ไม่ต้องทำอะไรเพิ่ม แต่กูเกิลก็แนะนำให้พยายามเปิดใช้ฟีเจอร์ความปลอดภัยใหม่ๆ
ที่มา - Google Security Blog
ภาพกระบวนการคิวรี DNS จาก Cloudflare