Hvad er DNS?

DNS står for ”domænenavnssystem”, og det beskriver internettets indeksering. Det giver brugerne adgang til informationer, ved at oversætte et domænenavn (som kaspersky.com) til den tilsvarende IP-adresse, som browseren skal bruge for at indlæse internettets ressourcer (som fx denne artikel). Som et system, bruger man DNS til at spore, katalogisere og regulere hjemmesider verden over.

For at få et bedre billede af, hvad DNS er, kigger vi på, hvordan DNS fungerer. Indledningsvis er det vigtigt at afklare de vilkår, emnet omhandler:

Internet Protocol (IP) adressen er det nummer, der tildeles enhver unik computer og server. Det er de ID’er er, som computerne bruger til at lokalisere og ”tale” med hinanden.

Et domæne (eller domænenavn) er et tekstnavn, som mennesker bruger til at huske, identificere og oprette forbindelse til bestemte hjemmesider og deres servere med. For eksempel bruger vi et domænenavn, som ”www.kaspersky.com”, som en nem fortolkning af den faktiske målserver-ID – dvs. IP-adressen.

Domænenavnssystemets servers (DNS-servere eller DNS navneservere) er en samling af fire servertyper, der udgør ”DNS lookup”-processen. De omfatter den aktive navneserver, rodnavnets servere, topdomænenavnets servere (TLD) og autoritative navneservere. For at få en bedre forståelse, så lad os gennemgå detaljerne for hver af serverne:

1. Den løsende navneserver (eller recursive resolver) er den, der oversætter DNS’ets opslagsproces. Den er designet til at håndtere forespørgsler fra klienten (via en webbrowser eller app) og derefter sende disse forespørgsler til en række webservere (angivet nedenfor) for at finde domænenavnets mål-IP-adresse. Den kan enten svare med tidligere cachelagrede data eller sende forespørgslen til en rodnavneserver. Den løsende navneserver kommunikerer konstant med nedenstående servere, når man laver et opslag.
2. Rodnavnets server (root-server) starter alle DNS-opslag. Hvis du forestiller dig, at DNS er et hierarki, står ”rodzonen” øverst. En rodserver er en DNS-navneserver, der arbejder i rodzonen. Den fungerer ofte som et referencepunkt, når der foretages et opslag.
3. Top-level domænets (TLD) navneserver ligger et niveau under rodzonen. Den næste fase af opslaget, indeholder informationer om alle domænenavne, der indeholder et fælles ”domæneefternavn”, dvs. .com, .dk osv.
4. Den autoritative navneserver er den sidste del af opslaget, som indeholder oplysninger, der er specifikke for det domænenavn, man søger efter. Det kan give den løsende navneserver den korrekte IP-adresse.

Nu, hvor vi har skabt definitionen på DNS’et og en generel forståelse af den og dens servere, kan vi undersøge hvordan det fungerer i praksis.

Hvordan fungerer DNS?

Når du søger efter en hjemmeside via et domænenavn i browseren, starter du en proces, som kaldes et ”opslag” eller ”lookup”. Hele processen består af 6 trin:

1. Din browser og operativsystemet (OS) forsøger at finde den IP-adresse, der er knyttet til domænenavnet. Hvis du har besøgt den før, kan IP-adressen hentes frem fra computerens interne lager eller hukommelsescachen.
2. Processen fortsætter, hvis ingen af delene ved, hvor destinationens IP-adresse er.
3. OS’et anmoder den løsende navneserver om IP-adressen. Anmodningen starter søgningen via domænenavnesystemets serverkæde for at finde domænets matchende IP.
4. Anmodningen går først til rodnavneserveren, som sender den videre til TLD-serveren (via den løsende server).
5. TLD-serveren sender derefter anmodningen videre eller peger den videre til den autoritative navneserver (igen via løsende server).
6. I sidste ende vil den løsende server bruge kommunikationen med den autoritative navneserver til at finde og sende IP-adressen til operativsystemet, som sender den tilbage til browseren, som så viser den hjemmeside, du har bedt om.

DNS’ opslagsprocessen er den vitale ramme, hele internettet bruger. Desværre kan de kriminelle misbruge DNS’ sårbarheder. Det betyder, at du skal være opmærksom på mulig svindel, hvor du sendes videre til andre sider, hvilket kaldes ”spoofing” og ”poisoning” (forgiftning). For at hjælpe dig med at undgå de trusler, så lad os forklare, hvad DNS-spoofing og DNS-forgiftning er, og hvordan det virker.

Definitionen på DNS spoofing og poisoning

Domain Name System (DNS) poisoning og spoofing er to slags cyberangreb, der udnytter DNS-servernes sårbarheder til at sende trafik videre, fra legitime servere, til falske. Når du lander på en fupside, kan du blive forvirret over, hvordan du løser sagen – selvom du faktisk er den eneste, der kan gøre det. Du skal vide præcis, hvordan det fungerer for at kunne beskytte dig selv.

DNS-spoofing og dermed også DNS-cache-poisoning er nogle af de mere vildledende cybertrusler. Hvis du ikke forstår, hvordan internettet forbinder dig med diverse hjemmesider, kan du blive snydt til at tro, at selve siden er hacket. Nogle gange, er det bare din enhed. Hvad værre er, er det kun visse cybersikkerhedspakker der kan stoppe nogle af de trusler, som er knyttet til DNS-spoofing.

Sådan virker poisoning og spoofing af DNS cachen

Når det gælder DNS, har de vigtigste trusler to sider:

1. DNS spoofing er den trussel, som efterligner legitime serverdestinationer for at omdirigere domænets trafik. Målet er at de intetanende ofre ender på ondsindede hjemmesider, der bygger på forskellige slags angreb med DNS-spoofing.
2. DNS-cache poisoning er DNS-spoofing i brugerens ende, hvor systemet logger den falske IP-adresse i din lokale hukommelsescache. Dette får DNS’en til at huske fupsiden for dig, selvom problemet bliver løst eller aldrig har eksisteret i serverenden.

Metoder, som angreb med DNS-spoofing eller cachepoisoning bruger

Blandt de forskellige metoder til DNS-spoofing, er følgende nogle af de mere almindelige:

Man-in-the-middle tricket: Når angriberne agerer mellem din browser og DNS-serveren. De bruger et værktøj, der både forgifter cachen, på din lokale enhed, og DNS-serveren. Resultatet er en omdirigering til en fupside, der hostes på angriberens egen, lokale server.

Kidnapning af DNS-servere: Svindlerne omkonfigurerer serveren til at sende alle anmodende brugere videre fupsiden. Når den svigagtig DNS-komponent først ligger på DNS-serveren, vil enhver IP-anmodning, til det forfalskede domæne, ende på fupsiden.

Spam, der forgifter DNS-cachen:Koden til forgiftning af DNS-cachen ligger ofte i URL-adresser, der sendes via spam-mails. Disse e-mails forsøger at skræmme brugere  til at klikke på den medfølgende URL-adresse, som så inficerer deres computer. Bannerreklamer og billeder — både i e-mails og på utroværdige hjemmesider — kan også lede brugerne til denne kode. Når computeren først er forgiftet, sender den dig videre til fupsider, der skabt til at ligne den ægte vare. Her kommer de sande trusler ind på dine enheder.

Farer, forbundet med DNS poisoning og spoofing

Her er nogle almindelige farer, som er forbundet med DNS poisoning og spoofing:

• Tyveri af data
• Malware-infektioner
• Stoppede sikkerhedsopdateringer
• Censur

DNS-spoofing udgør flere farer, der alle sammen kan skade dine enheder og personlige data.

Datatyveri kan være ekstra lukrativt for DNS’ets spoof-angribere. Bankernes sider og populære webshop er nemme at forfalske. Det betyder, at adgangskoder samt kreditkort- eller personoplysninger kan blive kompromitteret. Omdirigeringerne går til phishing-sider, der er designet til at indhente dine oplysninger.

Malwareinfektion er endnu en almindelig trussel ifm. DNS-spoofing. Når du har en spoof, der omdirigerer dig, kan destinationen være en fupside, der er fuld af ondsindede downloads. Drive-by-downloads er en nem måde at automatisere infektionen af dit system på. I sidste ende, hvis du ikke bruger nogen form for internetsikkerhed, udsætter du selv for farer. som spyware, keyloggere, eller orme.

Stoppede sikkerhedsopdateringer kan skyldes DNS-spoofing. Hvis fupsiderne også rameer internetsikkerheds-udbyderne, udføres de ægte sikkerhedsopdateringer ikke. Derfor kan din computer blive udsat for flere trusler, som virus eller  trojanere.

Censur er en risiko, der faktisk er almindelig i nogle dele af verden. Kina benytter fx ændringer i DNS’en for at sikre, at alle de sider, der ses i landet, er godkendt. Denne blokering, på nationalt niveau, kaldet ”The Great Firewall”, og er et eksempel på, hvor effektiv DNS-spoofing kan være.

Det kan især være svært at fjerne en forgiftning af DNS’ens cache. Det hjælper ikke at ”rense” en inficeret server. For når man bruger en stationær eller mobil enhed, vender enheden bare tilbage til fupsiden. Desuden vil ”rene” stationære, der besøger en inficeret server, blot blive kompromitteret igen.

Sådan undgår du forgiftning og spoofing

Når man forsøger at forhindre DNS-spoofing, er beskyttelsen hos brugeren desværre begrænset. Hjemmesidernes ejere og servernes udbydere kan bedre beskytte sig selv og deres brugere. For at holde alle i sikkerhed, skal begge parter forsøge at undgå spoofing.

Sådan undgår ejere af hjemmesider og DNS'ens udbydere disse angreb:

1. Værktøjer, der finder DNS-spoofing
2. Sikkerhedsudvidelser til domænets navnesystem
3. End-to-end-kryptering

Sådan undgår slutpunktsbrugere disse trusler:

1. Klik aldrig på et link, du ikke kender
2. Scan løbende computeren for malware
3. Tøm din DNS-cache for at stoppe en forgiftning
4. Brug virtuelt privat netværk (VPN)

Tip om forebyggelse til ejere af hjemmesider og udbydere af DNS-servere

Som ejer af en hjemmeside eller udbyder af en DNS-server, ligger ansvaret for at forsvare brugerne helt hos dig. Du kan implementere forskellige sikkerhedsværktøjer og protokoller, der holder truslerne væk. Blandt disse ressourcer, er det især klogt at bruge nogle af følgende:

1. Værktøjer, der finder DNS-spoofing: Som parallel til slutpunktbrugernes sikkerhedsprodukter, scanner disse værktøjer proaktivt alle data, der modtages, før de sendes ud.
2. Sikkerhedsudvidelser til domænets navnesystem (DNSSEC): DNSSEC-systemet er reelt en DNS ”verified real”-etiket, som hjælper med at holde et DNS-opslag ægte og fri for spoofing.
3. End-to-end kryptering: Krypterede data, der rummer DNS-anmodninger og -svar, holder svindlerne væk, da de ikke kan duplikere det unikke sikkerhedscertifikat, på den ægte hjemmeside.

Brugertip om forebyggelse

Brugerne er ekstra sårbare over for denne form for trusler. For at undgå at blive ramt af et angreb med DNS-forgiftning, bør du følge disse enkle tips:

1. Klik aldrig på et link, du ikke kender. Det dækker både mail, tekstbeskeder eller links på sociale medier. Værktøjer, der forkorter URL’er, kan også maskere linkets destinationer, så undgå dem mest muligt. For at være ekstra sikker, bør du altid indtaste adressen manuelt, i adresselinjen. Vent dog med at gøre det, til du har bekræftet, at den er officiel og legitim.
2. Scan løbende din computer for malware. Selvom du måske ikke kan opdage en forgiftning af DNS’ens cache, hjælper din sikkerhedssoftware med at finde og fjerne eventuelle infektioner. Da de spoofede sider kan levere alle former for ondsindede programmer, bør du altid scanne for vira, spyware og andre skjulte problemer (det omvendte er også muligt, da malwaren kan levere spoofinger). Det gøres ved altid at bruge et lokalt program, frem for en hostet version, da forgiftningen kan forfalske de internetbaserede resultater.
3. Tøm DNS-cachen for at fjerne forgiftningen, hvis det bliver nødvendigt. Cachens forgiftning bliver længe i systemet, medmindre du renser de inficerede data. Proces kan være superenkel, som fx at åbne Windows ”Run”-program og skrive kommandoen ”ipconfig /flushdns”. Mac, iOS og Android kan også tømme cachen. Disse findes normalt under nogen ala ”Nulstil netværksindstillinger”, skift til flytilstand, genstart af enheden eller brug af en specifik, original browser-URL. Tjek vejledningen til din specifikke enhed.
4. Brug et virtuelt privat netværk (VPN). Disse tjenester sikrer en krypteret tunnel til al trafikken på nettet og bruger private DNS-servere, der udelukkende bruger end-to-end krypterede anmodninger. Resultatet er servere, der er langt mere modstandsdygtige over for DNS-spoofing, og anmodninger, der ikke kan forstyrres.

Undgå at være sårbar over for DNS-spoofing og malware-angreb. Beskyt dig selv i dag med Kaspersky Home sikkerhedsprodukter.

Relaterede artikler og links:

• Hvad er spoofing?
• Hvad er pharming og sådan beskytter du dig
• Hvad er en IP-adresse, og hvad betyder det?
• Typer af og eksempler på malware

Relaterede produkter:

• Kaspersky Security for Small Businesses
• Kaspersky Security for Medium Businesses
• Kaspersky Enterprise Security