DNS-aanval

Een DNS-aanval is een exploit waarbij een aanvaller misbruik maakt van kwetsbaarheden in het domeinnaamsysteem (DNS).

Om te begrijpen hoe DNS-aanvallen werken, is het belangrijk om eerst te begrijpen hoe het domeinnaamsysteem werkt. DNS is een protocol dat een gebruikersvriendelijke domeinnaam, zoals WhatIs.com, vertaalt in het computervriendelijke IP-adres 206.19.49.154.

Wanneer een eindgebruiker de gebruikersvriendelijke domeinnaam WhatIs.com intypt in de browser van een client, zoekt een programma in het besturingssysteem van de client, een DNS-resolver genaamd, het numerieke IP-adres van WhatIs.com op. Eerst controleert de DNS-resolver zijn eigen lokale cache om te zien of hij het IP-adres voor WhatIs.com al heeft. Als hij het adres niet heeft, vraagt de resolver vervolgens een DNS-server of deze het juiste IP-adres voor WhatIs.com kent. DNS-servers zijn recursief, wat eenvoudigweg betekent dat ze elkaar kunnen bevragen om ofwel een andere DNS-server te vinden die het juiste IP-adres kent of om de gezaghebbende DNS-server te vinden die de canonieke toewijzing van de WhatIs.com-domeinnaam aan het IP-adres opslaat. Zodra de resolver het IP-adres heeft gevonden, stuurt hij het IP-adres terug naar het programma dat het verzoek heeft ingediend en slaat het adres op in de cache voor toekomstig gebruik.

Hoewel het DNS behoorlijk robuust is, is het ontworpen voor bruikbaarheid, niet voor beveiliging, en de soorten DNS-aanvallen die tegenwoordig in gebruik zijn, zijn talrijk en behoorlijk complex, waarbij misbruik wordt gemaakt van de communicatie over en weer tussen clients en servers. Over het algemeen maken aanvallers gebruik van de communicatie in klare tekst tussen cliënten en de drie soorten DNS-servers. Een andere populaire aanvalsstrategie is om in te loggen op de website van een DNS-provider met gestolen referenties en DNS-records om te leiden.

Om de kans op een DNS-aanval te verkleinen, moeten serverbeheerders de nieuwste versie van DNS-software gebruiken, het verkeer consequent monitoren en servers configureren om de verschillende DNS-functies te dupliceren, te scheiden en te isoleren. Ter verdediging tegen DNS-aanvallen raden deskundigen aan multifactorauthenticatie te implementeren bij het aanbrengen van wijzigingen in de DNS-infrastructuur van de organisatie. Operations-personeel moet ook controleren of er publiekelijk wijzigingen worden aangebracht in hun DNS-records of digitale certificaten die aan hun organisatie zijn gekoppeld. Een andere strategie is het implementeren van DNSSEC (Domain Name System Security Extensions), waarmee de authenticatie in DNS wordt versterkt door het gebruik van digitale handtekeningen op basis van openbare-sleutelcryptografie.

DNS-aanvalsvectoren

Typen DNS-aanvallen zijn onder meer:

Zero-day-aanval – de aanvaller maakt gebruik van een voorheen onbekende kwetsbaarheid in de DNS-protocolstack of DNS-serversoftware.

Cache poisoning – de aanvaller beschadigt een DSN-server door een legitiem IP-adres in de cache van de server te vervangen door dat van een ander, malafide adres om verkeer om te leiden naar een kwaadaardige website, informatie te verzamelen of een andere aanval te initiëren. Cache poisoning kan ook DNS poisoning worden genoemd.

Denial of Service – een aanval waarbij een kwaadaardige bot meer verkeer naar een doel-IP-adres stuurt dan de programmeurs die de databuffers ervan hebben gepland, hadden voorzien dat iemand zou kunnen sturen. Het doelwit wordt niet in staat om legitieme verzoeken op te lossen.

Distributed Denial of Service – de aanvaller gebruikt een botnet om massale hoeveelheden resolutieverzoeken naar een doel IP-adres te genereren.

DNS amplification – de aanvaller maakt gebruik van een DNS-server die recursieve lookups toestaat en gebruikt recursie om zijn aanval naar andere DNS-servers te verspreiden.

Fast-flux DNS – de aanvaller wisselt DNS-records met extreme frequentie in en uit om DNS-verzoeken om te leiden en detectie te voorkomen.