DNS attack

En DNS attack är en exploatering där en angripare utnyttjar sårbarheter i domännamnssystemet (DNS).

För att förstå hur DNS attacker fungerar är det viktigt att först förstå hur domännamnssystemet fungerar. DNS är ett protokoll som översätter ett användarvänligt domännamn, som WhatIs.com, till den datorvänliga IP-adressen 206.19.49.154.

När en slutanvändare skriver in det användarvänliga domännamnet WhatIs.com i en klients webbläsare söker ett program i klientens operativsystem, som kallas en DNS-resolver, upp WhatIs.coms numeriska IP-adress. Först kontrollerar DNS-upplösaren sin egen lokala cache för att se om den redan har IP-adressen för WhatIs.com. Om den inte har adressen frågar resolvern sedan en DNS-server för att se om den känner till den korrekta IP-adressen för WhatIs.com. DNS-servrar är rekursiva, vilket helt enkelt innebär att de kan fråga varandra för att antingen hitta en annan DNS-server som känner till den korrekta IP-adressen eller för att hitta den auktoritativa DNS-server som lagrar den kanoniska mappningen av domännamnet WhatIs.com till dess IP-adress. Så snart resolvern hittar IP-adressen returnerar den IP-adressen till det begärande programmet och lagrar adressen i cachen för framtida användning.

Trots att DNS är ganska robust utformades det för användbarhet, inte för säkerhet, och de typer av DNS-angrepp som används idag är många och ganska komplexa och utnyttjar kommunikationen fram och tillbaka mellan klienter och servrar. Typiskt sett utnyttjar angriparna klartextkommunikationen fram och tillbaka mellan klienter och de tre typerna av DNS-servrar. En annan populär angreppsstrategi är att logga in på en DNSleverantörs webbplats med stulna inloggningsuppgifter och omdirigera DNS-poster.

För att minska risken för en DNS-attack bör serveradministratörer använda den senaste versionen av DNS-mjukvara, konsekvent övervaka trafiken och konfigurera servrarna så att de olika DNS-funktionerna dupliceras, separeras och isoleras. För att försvara sig mot DNS-attacker rekommenderar experter att man implementerar flerfaktorsautentisering när man gör ändringar i organisationens DNS-infrastruktur. Driftspersonalen bör också övervaka alla ändringar som är offentligt kopplade till deras DNS-poster eller alla digitala certifikat som är kopplade till deras organisation. En annan strategi är att införa DNSSEC (Domain Name System Security Extensions), som stärker autentiseringen i DNS genom att använda digitala signaturer baserade på kryptografi med offentliga nycklar.

DNS angreppsvektorer

Typer av DNS-angrepp är bland annat:

Zero day-attack – angriparen utnyttjar en tidigare okänd sårbarhet i DNS-protokollstacken eller DNS-serverns programvara.

Cache poisoning – angriparen korrumperar en DSN-server genom att ersätta en legitim IP-adress i serverns cache med en annan, oseriös adress för att omdirigera trafiken till en skadlig webbplats, samla in information eller inleda en annan attack. Cache poisoning kan också kallas DNS poisoning.

Denial of Service – en attack där en skadlig bot skickar mer trafik till en målinriktad IP-adress än vad programmerarna som planerade dess datapuffer förutsåg att någon skulle kunna skicka. Målet blir oförmöget att lösa legitima förfrågningar.

Distributed Denial of Service – angriparen använder ett botnät för att generera enorma mängder förfrågningar om upplösning till en målinriktad IP-adress.

DNS-förstärkning – angriparen utnyttjar en DNS-server som tillåter rekursiva sökningar och använder rekursion för att sprida sin attack till andra DNS-servrar.

Fast-flux DNS – angriparen byter ut och in DNS-poster extremt ofta för att omdirigera DNS-förfrågningar och undvika att bli upptäckt.