DNS angreb

Et DNS angreb er en udnyttelse, hvor en angriber udnytter sårbarheder i domænenavnssystemet (DNS).

For at forstå, hvordan DNS angreb virker, er det vigtigt først at forstå, hvordan domænenavnssystemet fungerer. DNS er en protokol, der oversætter et brugervenligt domænenavn som WhatIs.com til den computervenlige IP-adresse 206.19.49.154.

Når en slutbruger indtaster det brugervenlige domænenavn WhatIs.com i en klients browser, slår et program i klientens styresystem, der kaldes en DNS-resolver, WhatIs.com’s numeriske IP-adresse op. Først tjekker DNS-resolveren sin egen lokale cache for at se, om den allerede har IP-adressen for WhatIs.com. Hvis den ikke har adressen, forespørger resolveren derefter en DNS-server for at se, om den kender den korrekte IP-adresse for WhatIs.com. DNS-servere er rekursive, hvilket betyder, at de kan forespørge hinanden for enten at finde en anden DNS-server, der kender den korrekte IP-adresse, eller finde den autoritative DNS-server, der gemmer den kanoniske mapping af WhatIs.com-domænenavnet til IP-adressen. Så snart resolveren finder IP-adressen, returnerer den IP-adressen til det anmodende program og gemmer adressen i cachen til fremtidig brug.

Selv om DNS er ret robust, blev det designet med henblik på brugervenlighed, ikke sikkerhed, og de typer DNSangreb, der anvendes i dag, er mange og ret komplekse, idet de udnytter kommunikationen frem og tilbage mellem klienter og servere. Typisk udnytter angriberne klartekstkommunikationen frem og tilbage mellem klienter og de tre typer DNS-servere. En anden populær angrebsstrategi er at logge ind på en DNS-udbyders websted med stjålne legitimationsoplysninger og omdirigere DNS-poster.

For at mindske risikoen for et DNS-angreb bør serveradministratorer bruge den nyeste version af DNS-software, konstant overvåge trafikken og konfigurere servere til at duplikere, adskille og isolere de forskellige DNS-funktioner. For at forsvare sig mod DNS-angreb anbefaler eksperter, at der implementeres multifaktor-godkendelse, når der foretages ændringer i organisationens DNS-infrastruktur. Driftspersonalet bør også overvåge eventuelle ændringer, der er offentligt forbundet med deres DNS-poster eller digitale certifikater, der er forbundet med deres organisation. En anden strategi er at implementere DNSSEC (Domain Name System Security Extensions), som styrker godkendelsen i DNS ved hjælp af digitale signaturer baseret på kryptografi med offentlige nøgler.

DNS angrebsvektorer

Typer af DNS-angreb omfatter:

Zero day attack – angriberen udnytter en tidligere ukendt sårbarhed i DNS-protokolstakken eller DNS-server-softwaren.

Cacheforgiftning – angriberen forvansker en DSN-server ved at erstatte en legitim IP-adresse i serverens cache med en anden, useriøs adresse for at omdirigere trafikken til et skadeligt websted, indsamle oplysninger eller iværksætte et andet angreb. Cache poisoning kan også kaldes DNS poisoning.

Denial of Service – et angreb, hvor en ondsindet bot sender mere trafik til en målrettet IP-adresse, end de programmører, der har planlagt dens datapuffere, forventede, at nogen kunne sende. Målet bliver ude af stand til at løse legitime anmodninger.

Distributed Denial of Service – angriberen bruger et botnet til at generere massive mængder af opløsningsanmodninger til en målrettet IP-adresse.

DNS-forstærkning – angriberen udnytter en DNS-server, der tillader rekursive opslag, og bruger rekursion til at sprede sit angreb til andre DNS-servere.

Fast-flux DNS – angriberen bytter DNS-poster ind og ud med ekstrem hyppighed for at omdirigere DNS-anmodninger og undgå at blive opdaget.