DNS-hyökkäys

DNS-hyökkäys on hyväksikäyttö, jossa hyökkääjä käyttää hyväkseen verkkotunnusjärjestelmän (DNS) haavoittuvuuksia.

Ymmärtääksemme miten DNS-hyökkäykset toimivat, on tärkeää ensin ymmärtää miten verkkotunnusjärjestelmä toimii. DNS on protokolla, joka kääntää käyttäjäystävällisen verkkotunnuksen, kuten WhatIs.com, tietokoneystävälliseksi IP-osoitteeksi 206.19.49.154.

Kun loppukäyttäjä kirjoittaa ihmisystävällisen verkkotunnuksen WhatIs.com asiakkaan selaimeen, asiakkaan käyttöjärjestelmässä oleva ohjelma, jota kutsutaan DNS-resolveriksi, etsii WhatIs.comin numeerisen IP-osoitteen. DNS-resolveri tarkistaa ensin omasta paikallisesta välimuististaan, onko sillä jo WhatIs.comin IP-osoite. Jos sillä ei ole osoitetta, resolveri kysyy sitten DNS-palvelimelta, tietääkö se WhatIs.comin oikean IP-osoitteen. DNS-palvelimet ovat rekursiivisia, mikä tarkoittaa yksinkertaisesti sitä, että ne voivat kysyä toisiltaan joko toisen DNS-palvelimen löytämiseksi, joka tietää oikean IP-osoitteen, tai auktoritatiivisen DNS-palvelimen löytämiseksi, joka tallentaa WhatIs.com-verkkotunnuksen kanonisen yhdistelmän sen IP-osoitteeseen. Heti kun resolveri löytää IP-osoitteen, se palauttaa IP-osoitteen sitä pyytävälle ohjelmalle ja tallentaa osoitteen välimuistiin tulevaa käyttöä varten.

Vaikka DNS on varsin vankka, se suunniteltiin käytettävyyden eikä turvallisuuden vuoksi, ja nykyään käytössä olevat DNS-hyökkäystyypit ovat moninaisia ja varsin monimutkaisia, ja ne käyttävät hyväkseen asiakkaiden ja palvelimien välistä viestintää edestakaisin. Tyypillisesti hyökkääjät käyttävät hyväkseen selkotekstiviestintää edestakaisin asiakkaiden ja kolmen DNS-palvelintyypin välillä. Toinen suosittu hyökkäysstrategia on kirjautua DNS-palveluntarjoajan verkkosivustolle varastetuilla tunnuksilla ja ohjata DNS-tietueet uudelleen.

DNS-hyökkäyksen mahdollisuuden vähentämiseksi palvelinten ylläpitäjien tulisi käyttää uusinta versiota DNS-ohjelmistosta, valvoa jatkuvasti liikennettä ja konfiguroida palvelimet siten, että eri DNS-toiminnot voidaan kopioida, erottaa ja eristää. DNS-hyökkäysten torjumiseksi asiantuntijat suosittelevat monitekijätodennuksen käyttöönottoa, kun organisaation DNS-infrastruktuuriin tehdään muutoksia. Toimintahenkilöstön olisi myös seurattava DNS-tietueisiinsa julkisesti liittyviä muutoksia tai organisaatioonsa liittyviä digitaalisia varmenteita. Toinen strategia on ottaa käyttöön DNSSEC (Domain Name System Security Extensions), joka vahvistaa todennusta DNS:ssä käyttämällä julkiseen avainsalaukseen perustuvia digitaalisia allekirjoituksia.

DNS-hyökkäysvektorit

DNS-hyökkäystyyppejä ovat muun muassa:

Nollapäivähyökkäys – Hyökkääjä käyttää hyväkseen aiemmin tuntematonta haavoittuvuutta DNS-protokollapinossa tai DNS-palvelinohjelmistossa.

Cache poisoning (välimuistin myrkytys) – hyökkääjä turmelee DSN-palvelimen korvaamalla palvelimen välimuistissa olevan laillisen IP-osoitteen toisen, vilpillisen osoitteen IP-osoitteella ohjatakseen liikennettä haitalliselle verkkosivustolle, kerätäkseen tietoja tai aloittaakseen toisen hyökkäyksen. Välimuistin myrkyttämistä voidaan kutsua myös DNS-myrkytykseksi.

Denial of Service – hyökkäys, jossa haitallinen robotti lähettää kohdennettuun IP-osoitteeseen enemmän liikennettä kuin sen datapuskurit suunnitelleet ohjelmoijat ennakoivat jonkun voivan lähettää. Kohde ei pysty ratkaisemaan laillisia pyyntöjä.

Distributed Denial of Service – hyökkääjä käyttää bottiverkkoa tuottaakseen valtavia määriä ratkaisupyyntöjä kohteena olevaan IP-osoitteeseen.

DNS-vahvistus – hyökkääjä käyttää hyväkseen DNS-palvelinta, joka sallii rekursiiviset haun, ja käyttää rekursiota levittääkseen hyökkäyksensä muihin DNS-palvelimiin.

Fast-flux DNS – hyökkääjä vaihtaa DNS-tietueita sisään ja ulos erittäin tiheään tahtiin ohjatakseen DNS-pyyntöjä uudelleen ja välttääkseen havaitsemisen.