Vad är DNS-cachelagring?

Innan vi förklarar hur DNS poisoning fungerar, låt oss komma ihåg hur DNS fungerar. Varje gång din webbläsare kontaktar ett domännamn måste den först kontakta DNS-servern. Domain Name Servers (DNS) är Internets motsvarighet till en telefonbok. De upprätthåller en katalog över domännamn och översätter dem till IP-adresser (Internet Protocol).

Detta är nödvändigt eftersom, även om domännamn är lätta för människor att komma ihåg, datorer eller maskiner, får tillgång till webbplatser baserat på IP-adresser.

Figur 1: DNS-funktionen. Källa: Servern svarar sedan med minst en IP-adress (men oftast fler) för att din dator ska kunna nå domännamnet. När din dator ansluter till IP-adressen omvandlar DNS domännamnet till en IP-adress som din dator kan läsa.

Inom nu kör din internetleverantör flera DNS-servrar, som var och en cacher (eller sparar) information även från andra servrar. Wi-Fi-routern du har hemma fungerar i princip också som en DNS-server, eftersom den lagrar information från din internetleverantörs servrar.

Hur DNS Poisoning fungerar

En DNS-cache ”förgiftas” när servern tar emot en felaktig post. För att sätta detta i perspektiv kan det inträffa när en hackare får kontroll över en DNS-server och sedan ändrar informationen i den.

De kan till exempel ändra informationen så att DNS-servern säger till användarna att de ska leta efter en viss webbplats med fel adress. Med andra ord skulle användaren skriva in det korrekta namnet på webbplatsen, men sedan skickas till fel IP-adress, närmare bestämt till en webbplats för nätfiske.

Figur 2: Hur DNS poisoning fungerar. Källa: imperva.com

Koden för DNS-cacheförgiftning finns ofta i webbadresser som skickas via skräppost. Dessa e-postmeddelanden försöker skrämma användare att klicka på den angivna webbadressen, som i sin tur infekterar deras dator. Bannerannonser och bilder – både i e-postmeddelanden och på opålitliga webbplatser – kan också leda användarna till den här koden. När användaren väl är förgiftad kommer användarens dator att leda honom eller henne till falska webbplatser som är förfalskade för att se ut som riktiga webbplatser, vilket utsätter honom eller henne för risker som spionprogram, keyloggers eller maskar.

Risker

DNS-förgiftning kan vara mycket farlig eftersom den snabbt kan spridas från en DNS-server till en annan. Detta sker när flera internetleverantörer får sin DNS-information från en hackerkontrollerad server, vilket leder till att den ”förgiftade” DNS-posten sprids till dessa internetleverantörer för att lagras i cacheminnet. Därefter kan den spridas till andra DNS-servrar och hemroutrar samt datorer, vilket resulterar i att fler och fler människor blir offer för förgiftningen.

DNS-förgiftning innebär flera risker, till att börja med datastöld. Bankwebbplatser och populära nätbutiker kan lätt förfalskas, vilket innebär att alla lösenord, kreditkort eller personlig information kan äventyras. Om de förfalskade webbplatserna innehåller leverantörer av Internetsäkerhet kan användarens dator dessutom utsättas för ytterligare hot, t.ex. virus eller trojaner, eftersom legitima säkerhetsuppdateringar inte kommer att utföras.

Hur man upptäcker DNS-förgiftning

Hur upptäcker man då en attack med DNS-förgiftning av cacheminnet? Det bästa sättet att göra det är att övervaka dina DNS-servrar för att hitta indikatorer på möjliga attacker. Genom att tillämpa datasäkerhetsanalyser på din DNS-övervakning kan du hjälpa dig att identifiera normalt DNS-beteende från attacker. Till exempel:

  • En plötslig ökning av DNS-aktivitet från en enda källa om en enda domän indikerar en potentiell Birthday-attack.
  • En ökning av DNS-aktivitet från en enda källa som frågar din DNS-server för flera domännamn utan rekursion indikerar ett försök att hitta en post som kan användas för förgiftning.
Hur man skyddar sig mot DNS-förgiftning

En av de knepiga aspekterna av DNS-förgiftning är svårigheten att avgöra om de DNS-svar man får är legitima eller inte. Lyckligtvis finns det fortfarande flera åtgärder som din organisation kan vidta för att förhindra att en sådan attack händer dig.

En sak du till exempel bör göra är att ha dina DNS-servrar konfigurerade så att de förlitar sig mycket lite på relationer med andra DNS-servrar. Detta gör det mycket svårare för en cyberkriminell att använda sin DNS-server för att korrumpera sina mål. Detta innebär att det är mindre sannolikt att din egen DNS-server korrumperas, och därför är det mindre sannolikt att du (och alla i din organisation) omdirigeras till en felaktig webbplats.

Du kan också konfigurera dina DNS-servrar så att de endast lagrar data som är specifikt relaterade till den begärda domänen och så att de begränsar förfrågningssvaren så att de endast tillhandahåller information som rör den begärda domänen. Tanken är att servern ska konfigureras så att de tjänster som krävs är de enda som får köras. Genom att ha ytterligare tjänster som inte är nödvändiga att köra på din DNS-server ökar du kraftigt oddsen för att en attack ska ske.

Du bör också se till att den senaste versionen av DNS används. Detta beror på att de senaste versionerna använder säkerhetsfunktioner som slumpmässiga portar och transaktions-ID:n som är kryptografiskt säkra för att hjälpa till att skydda mot förgiftningsattacker.

Det viktigaste du kan göra för att skydda dig mot DNS-förgiftning är förmodligen att använda DNSSec, som är avgörande för att undvika förgiftning av DNS-cachelagring. Standarden har under de senaste åren förstärkts med funktioner som är särskilt utformade för att förhindra den här typen av angrepp. Den verifierar rotdomänen (kallas ”signering av roten”) närhelst en slutanvändare försöker komma åt en webbplats.

Ett annat viktigt försvar mot DNS-cacheförgiftning är att leta efter företagets namn i webbläsarens adressfält. Det betyder att webbplatsen använder ett SSL/TLS-certifikat. Detta skulle bidra till att förhindra att uppmärksamma personer faller offer för en förgiftningsattack, eftersom de skulle vara medvetna om att de inte ska ange sina personuppgifter på en hackares webbplats. Även om detta inte är en idiotsäker åtgärd kan det vara till hjälp när man försöker avgöra om man är på rätt webbplats.

Slutsats

Sammanfattningsvis innebär DNS-förgiftning att en angripare utnyttjar en DNS-server för att skicka ett förfalskat DNS-svar som kommer att cachas av legitima servrar. Därefter skickas användare som besöker den skadade domänen till en ny IP-adress som hackaren kontrollerar, vilket vanligtvis är en skadlig phishing-webbplats där offren kan manipuleras till att ladda ner skadlig kod eller lämna inloggnings- eller finansiella uppgifter. Om du vidtar ovanstående åtgärder kan du skydda din organisation mot DNS-förgiftningsattacker.

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *