GlobalSign Blog

Också känt som DNS spoofing, är DNS cache poisoning en attack som är utformad för att lokalisera och sedan utnyttja sårbarheter som finns i ett DNS, eller domännamnssystem, för att dra organisk trafik bort från en legitim server och över till en falsk server.

Hotet med DNS-cacheförgiftning blev känt tidigare i år, i april, när kryptojätten MyEtherWallets DNS-servrar kapades och omdirigerade legitima användare till en phishing-webbplats.

Som ett resultat av cacheförgiftningen lurades flera användare till att lämna ifrån sig sina nycklar till plånboken för att sedan överföra sina kryptovalutor till en annan digital plånbok med koppling till hackarna. Allt som allt stal hackarna Ethereum till ett värde av cirka hundra sextiotusen dollar innan problemet identifierades och stoppades.

Detta är bara ett exempel som illustrerar hur farlig DNS-cacheförgiftning kan vara. En annan anledning till att den här typen av attack är farlig är att den lätt kan spridas från en DNS-server till nästa.

I den här artikeln tar vi upp hur DNS cache poisoning fungerar och sedan några lösningar som du kan tillämpa för att stoppa det om det någonsin skulle hända dig.

Varje gång din webbläsare kontaktar ett domännamn måste den först kontakta DNS-servern.
Domännamnsservrar (DNS) är Internets motsvarighet till en telefonbok. De upprätthåller en katalog över domännamn och översätter dem till IP-adresser (Internet Protocol).

Detta är nödvändigt eftersom, även om domännamn är lätta för människor att komma ihåg, datorer eller maskiner, får tillgång till webbplatser baserat på IP-adresser.

Servern svarar sedan med minst en IP-adress (men oftast fler) för att din dator ska kunna nå domännamnet. När din dator ansluter till IP-adressen omvandlar DNS domännamnet till en IP-adress som din dator kan läsa.

Inom nu kör din internetleverantör flera DNS-servrar, som var och en cacher (eller sparar) information från andra servrar också. Wi-Fi-routern som du har i ditt hem fungerar i princip också som en DNS-server, eftersom den lagrar information från din internetleverantörs servrar.

En DNS-cache ”förgiftas” när servern får en felaktig post. För att sätta detta i perspektiv kan det inträffa när en hackare får kontroll över en DNS-server och sedan ändrar informationen i den.

De kan till exempel ändra informationen så att DNS-servern säger till användarna att de ska leta efter en viss webbplats med fel adress. Med andra ord skulle användaren skriva in det ”korrekta” namnet på webbplatsen, men sedan skickas till fel IP-adress, närmare bestämt till en webbplats för nätfiske.

Förut nämnde vi att en av anledningarna till att DNS-cacheförgiftning är farlig är hur snabbt den kan spridas från en DNS-server till en annan. Detta sker om och när flera internetleverantörer får sin DNS-information från den nu hackerkontrollerade servern, vilket leder till att den ”förgiftade” DNS-posten sprids till dessa internetleverantörer för att lagras i cacheminnet.

Från den punkten kan den sprida sig till andra DNS-servrar och hemroutrar samt datorer kommer att slå upp DNS-posten men bara för att få fel svar, vilket leder till att fler och fler människor blir offer för förgiftningen. Först när den förgiftade cachen har rensats på varje drabbad DNS-server kommer problemet att vara löst.

Hur man skyddar sig mot förgiftning av DNS-cache

En av de knepiga aspekterna av förgiftning av DNS-cache är att det kommer att vara extremt svårt att avgöra om de DNS-svar man får är legitima eller inte. I fallet My Ethereum Wallet hade de mycket begränsade möjligheter att förhindra att situationen inträffade, och problemet löstes i slutändan av deras serverleverantörer.

Tyvärr finns det fortfarande ett antal åtgärder som din organisation kan vidta för att förhindra att en sådan attack inträffar hos dig, så du bör inte ha intrycket att DNS cache poisoning är omöjligt eller nästan omöjligt att förhindra.

En sak du till exempel bör göra är att låta en IT-proffs konfigurera dina DNS-servrar så att de i mycket liten utsträckning förlitar sig på relationer med andra DNS-servrar. Detta gör det mycket svårare för en cyberkriminell att använda sin DNS-server för att korrumpera sina mål, vilket innebär att det är mindre troligt att din egen DNS-server korrumperas, och därför är det mindre troligt att du (och alla i din organisation) omdirigeras till en felaktig webbplats.

Du kan dessutom låta dina DNS-servrar konfigureras så att de endast lagrar data som är specifikt relaterade till den begärda domänen och så att de begränsar frågesvaret så att de endast tillhandahåller information som också berör den begärda domänen. Tanken är att servern ska konfigureras så att de tjänster som krävs är de enda som får köras. Genom att ha ytterligare tjänster som inte är nödvändiga att köra på din DNS-server ökar du kraftigt oddsen för att en attack ska ske.

Du bör också se till att den senaste versionen av DNS används. Detta beror på att de senaste versionerna kommer att använda säkerhetsfunktioner som slumpmässiga portar och transaktions-ID:n som är kryptografiskt säkra för att hjälpa till att skydda mot förgiftningsattacker.

Ett annat viktigt försvar mot förgiftning av DNS-cache, som MyEtherWallet rådde om i ett meddelande efter attacken som inträffade i april 2018, är att leta efter företagets namn i adressfältet (alltså i deras fall ”MyEtherWallet Inc.”).
Det betyder att webbplatsen använder ett EV SSL/TLS-certifikat. Detta skulle bidra till att förhindra att människor faller offer för en förgiftningsattack, eftersom de skulle se till att inte skriva in sina personuppgifter på en hackares webbplats. Det är inte alla företag som använder EV på sina webbplatser, så detta är ingen idiotsäker åtgärd, men det kan vara ett användbart verktyg när man försöker avgöra om man är på rätt webbplats.

Ett SSL/TLS-certifikat är helt enkelt en liten datafil som installeras på en webbserver och som kan binda uppgifterna om din organisation till en kryptografisk nyckel. När certifikatet har installerats aktiverar det HTTPS-protokollet för att möjliggöra en säker och krypterad anslutning mellan en webbläsare och din webbserver. När det gäller EV SSL/TLS-certifikat kommer några av dessa organisationsuppgifter, inklusive företagsnamnet som nämns ovan, att presenteras direkt i webbläsarens användargränssnitt.

Slutsats

Sammanfattningsvis innebär DNS-cacheförgiftning att en angripare utnyttjar en DNS-server för att skicka ett förfalskat DNS-svar som kommer att lagras i cacheminnet av legitima servrar.

Följandektligen kommer användare som besöker den korrumperade domänen att skickas till en ny IP-adress som hackaren har valt ut, som vanligen är en illasinnad phishing-webbplats där offren kan manipuleras till att ladda ner skadlig programvara eller lämna in inloggnings- eller finansiella uppgifter.

Om du vidtar ovanstående åtgärder kan du hjälpa till att försvara din organisation mot DNS cache poisoning-attacker.

Anmärkning: Den här bloggartikeln skrevs av en gästmedarbetare i syfte att erbjuda ett bredare utbud av innehåll för våra läsare. De åsikter som uttrycks i denna gästförfattares artikel är endast bidragsgivarens och återspeglar inte nödvändigtvis GlobalSigns åsikter.

Lämna en kommentar