GlobalSign Blog

DNS cache poisoning, også kendt som DNS spoofing, er et angreb designet til at lokalisere og derefter udnytte sårbarheder, der findes i et DNS eller domænenavnssystem, for at trække organisk trafik væk fra en legitim server og over til en falsk server.

Truslen om DNS-cacheforgiftning kom i nyhederne tidligere i år i april, da kryptogiganten MyEtherWallets DNS-servere blev kapret og omdirigerede legitime brugere over til et phishing-websted.

Som følge af cacheforgiftningen blev flere brugere narret til at opgive deres tegnebogsnøgler, før de overførte deres kryptovalutaer til en anden digital tegnebog, der var forbundet med hackerne. Alt i alt stjal hackerne for omkring hundrede og tres tusind dollars i Ethereum, før problemet blev identificeret og stoppet.

Dette er blot ét eksempel, der illustrerer, hvor farlig DNS-cacheforgiftning kan være. En anden grund til, at denne form for angreb er farlig, er, at det nemt kan spredes fra den ene DNS-server til den næste.

I denne artikel vil vi behandle emnet, hvordan DNS-cacheforgiftning fungerer, og derefter nogle løsninger, du kan anvende for at stoppe det, hvis det nogensinde skulle ske for dig.

Hver gang din browser kontakter et domænenavn, skal den først kontakte DNS-serveren.
Domænenavnsservere (DNS) er internettets pendant til en telefonbog. De vedligeholder en fortegnelse over domænenavne og oversætter dem til IP-adresser (Internet Protocol).

Dette er nødvendigt, for selv om domænenavne er lette at huske for folk, får computere eller maskiner adgang til websteder på grundlag af IP-adresser.

Serveren svarer derefter med mindst én IP-adresse (men normalt flere), så din computer kan nå domænenavnet. Når din computer opretter forbindelse til IP-adressen, konverterer DNS domænenavnet til en IP-adresse, som din computer kan læse.

Nu kører din internetudbyder flere DNS-servere, som hver især også cacher (eller gemmer) oplysninger fra andre servere. Den Wi-Fi-router, du har i dit hjem, fungerer i princippet også som en DNS-server, da den cacher oplysninger fra serverne hos din internetudbyder.

En DNS-cache “forgiftes”, når serveren modtager en forkert post. For at sætte dette i perspektiv kan det ske, når en hacker får kontrol over en DNS-server og derefter ændrer oplysningerne i den.

De kan f.eks. ændre oplysningerne, så DNS-serveren fortæller brugerne, at de skal søge efter et bestemt websted med den forkerte adresse. Med andre ord ville brugeren indtaste det “korrekte” navn på webstedet, men derefter blive sendt til den forkerte IP-adresse og specifikt til et phishing-websted.

Der blev tidligere nævnt, at en af grundene til, at DNS-cacheforgiftning er farlig, er, at den kan sprede sig så hurtigt fra den ene DNS-server til den anden. Dette sker, hvis og når flere internetudbydere modtager deres DNS-oplysninger fra den nu hackerkontrollerede server, hvilket resulterer i, at den “forgiftede” DNS-post spredes til disse internetudbydere for at blive lagret i cachen.

Derfra kan det sprede sig til andre DNS-servere og hjemmeroutere samt computere vil slå op i DNS-posten for blot at modtage det forkerte svar, hvilket resulterer i, at flere og flere mennesker bliver ofre for forgiftningen. Først når den forgiftede cache er blevet ryddet på alle de berørte DNS-servere, vil problemet være løst.

Sådan beskytter du dig mod DNS Cache Poisoning

Et af de vanskelige aspekter ved DNS cache poisoning er, at det vil være ekstremt svært at afgøre, om de DNS-svar, du modtager, er legitime eller ej. I tilfældet med My Ethereum Wallet havde de meget begrænsede midler til at forhindre situationen i at opstå, og problemet blev i sidste ende løst af deres serverudbydere.

Der er heldigvis stadig en række foranstaltninger, som din organisation kan træffe for at forhindre et sådant angreb i at ske for dig, så du bør ikke være under indtryk af, at DNS cache poisoning er umuligt eller næsten umuligt at forhindre.

En ting du f.eks. bør gøre er at få dine DNS-servere konfigureret af en it-professionel til at stole meget lidt på relationer med andre DNS-servere. Dette gør det meget sværere for en cyberkriminel at bruge deres DNS-server til at korrumpere deres mål, hvilket betyder, at din egen DNS-server er mindre tilbøjelig til at blive korrumperet, og at du (og alle i din organisation) derfor er mindre tilbøjelig til at blive omdirigeret til et forkert websted.

Du kan desuden få dine DNS-servere konfigureret til kun at gemme data, der specifikt vedrører det anmodede domæne, og til at begrænse forespørgselssvarene til kun at give oplysninger, der også vedrører det anmodede domæne. Ideen er, at serveren vil blive konfigureret således, at de nødvendige tjenester er de eneste, der har tilladelse til at køre. Ved at have yderligere tjenester, der ikke er nødvendige at køre på din DNS-server, øger du i høj grad sandsynligheden for, at et angreb finder sted.

Du bør også sikre dig, at den nyeste version af DNS anvendes. Dette skyldes, at de nyeste versioner vil bruge sikkerhedsfunktioner såsom porttilfælde og transaktions-id’er, der er kryptografisk sikre for at hjælpe med at beskytte mod forgiftningsangreb.

Et andet vigtigt forsvar mod DNS-cacheforgiftning, som MyEtherWallet rådede om i en meddelelse efter angrebet, der fandt sted tilbage i april 2018, er at kigge efter virksomhedens navn i adresselinjen (altså i deres tilfælde “MyEtherWallet Inc”).
Det betyder, at webstedet bruger et EV SSL/TLS-certifikat. Dette vil være med til at forhindre, at folk bliver ofre for et forgiftningsangreb, fordi de vil sørge for ikke at indtaste deres personlige oplysninger på et hackerwebsted. Ikke alle virksomheder bruger EV på deres websteder, så dette er ikke en idiotsikker foranstaltning, men det kan være et nyttigt værktøj, når man forsøger at afgøre, om man er på det rigtige websted.

Et SSL/TLS certifikat er simpelthen en lille datafil, der er installeret på en webserver, og som kan binde oplysningerne om din organisation til en kryptografisk nøgle. Når certifikatet er blevet installeret, vil det aktivere HTTPS-protokollen for at muliggøre en sikker og krypteret forbindelse mellem en browser og din webserver. I tilfælde af EV SSL/TLS certifikater vil nogle af disse organisationsoplysninger, herunder virksomhedsnavnet som nævnt ovenfor, blive vist direkte i browserens brugergrænseflade.

Konklusion

Sammenfattende er DNS-cacheforgiftning, når en angriber udnytter en DNS-server til at sende et forfalsket DNS-svar, som vil blive lagret i cachen af legitime servere.

Derpå vil brugere, der besøger det beskadigede domæne, blive sendt til en ny IP-adresse, som hackeren har valgt, og som normalt er et ondsindet phishing-websted, hvor ofrene kan manipuleres til at downloade malware eller indsende login- eller finansielle oplysninger.

Det at tage ovenstående skridt vil hjælpe med at forsvare din organisation mod DNS cache poisoning-angreb.

Note: Denne blogartikel er skrevet af en gæstebidragyder med det formål at tilbyde et bredere udvalg af indhold til vores læsere. De holdninger, der kommer til udtryk i denne gæsteforfatterartikel, er udelukkende bidragyderens egne og afspejler ikke nødvendigvis GlobalSigns holdninger.

Skriv en kommentar