Vad är DNS-spoofing?

Vad är DNS-spoofing? DNS-spoofing är en angreppstaktik som ofta används för att lura företag. DNS har aldrig varit säkert i sig självt. Eftersom den utformades på 1980-talet var säkerheten inte en viktig fråga när Internet fortfarande var en kuriositet. Detta har uppmuntrat dåliga aktörer att utnyttja problemet med tiden och utveckla sofistikerade DNS-baserade attacker, t.ex. DNS-spoofing.

Definition av DNS-spoofing

DNS-spoofing är en teknik som används för att kapa en webbläsares förfrågan om en webbplats och i stället leda användaren till en annan webbplats. Detta kan göras antingen genom att ändra DNS-servarnas IP-adresser eller genom att ändra IP-adressen för själva domännamns-servern.

DNS-spoofing används ofta i nätfiskeprogram där användare luras att besöka falska webbplatser som ser ut som äkta webbplatser. Dessa falska webbplatser kan be om personlig information, t.ex. kreditkortsnummer eller personnummer, som brottslingar kan använda för identitetsstöld.

Vad är en DNS Spoofing-attack?

En DNS-spoofing-attack innebär att angriparen utger sig för att vara en DNS-server och skickar svar på DNS-frågor som skiljer sig från dem som skickas av den legitima servern.

Angriparen kan skicka vilket svar som helst på offrets fråga, inklusive falska IP-adresser för värdar eller andra typer av falsk information. Detta kan användas för att leda en användare till en webbplats som är utformad för att se ut som en annan webbplats eller för att ge ut falsk information om tjänster i nätverket.

Kort sagt kan en angripare lura en användare att besöka en skadlig webbplats utan att han eller hon vet om det. Med DNS-spoofing avses försök att ändra de DNS-poster som returneras till en användare och omdirigera dem till en skadlig webbplats.

Den kan användas för en rad olika skadliga syften, bland annat:

  • Distribution av skadlig kod, utpressningstrojaner och nätfiskebedrägerier
  • Samla in användarinformation
  • Underlättar andra typer av cyberbrottslighet.

Hur fungerar DNS Spoofing?

DNS-servern omvandlar domännamn till IP-adresser så att människor kan ansluta till webbplatser. Om en hackare vill skicka användare till skadliga webbplatser måste han eller hon först ändra DNS-inställningarna. Detta kan göras genom att utnyttja svagheter i systemet eller genom brute force-attacker där hackare provar tusentals olika kombinationer tills de hittar en som fungerar.

Steg 1 - Rekonstruktion

Det första steget i en lyckad attack är spaning - att ta reda på så mycket information som möjligt om målet. En hackare kommer att studera din affärsmodell, dina anställdas nätverksstruktur och säkerhetspolicy för att veta vilken typ av information han eller hon ska be om och hur han eller hon kan få tag på den.

Steg 2 - Tillträde

När de har samlat tillräckligt med information om sitt mål försöker de komma åt systemet genom att utnyttja sårbarheter eller använda brute force-metoder. När de väl har fått tillgång till systemet kan de installera skadlig kod i systemet så att de kan övervaka trafiken och utvinna känsliga uppgifter. Angriparen kan skicka paket som utger sig för att komma från legitima datorer, vilket får dem att se ut som om de kommer från någon annanstans.

Steg 3 - Attackera

När namnservern tar emot dessa paket lagrar den dem i sin cache och använder dem nästa gång någon frågar efter denna information. När auktoriserade användare försöker komma åt en auktoriserad webbplats kommer de istället att omdirigeras till en obehörig webbplats.

Metoder för att spionera på DNS

Det finns flera sätt för en angripare att göra det på, men alla bygger på att lura användarens dator att använda en alternativ DNS-server. På så sätt kan angriparen kapa förfrågningar och skicka dem till vilken webbplats som helst.

1. Man-in-the-Middle-attacker

Den vanligaste attacken mot DNS-spoofing kallas MITM-attack (man-in-the-middle). Angriparen avlyssnar en e-postkommunikation mellan två SMTP-servrar för att läsa all din internettrafik i den här typen av angrepp. Angriparen avlyssnar sedan din begäran om upplösning av ett domännamn och skickar den via sitt nätverk i stället för det faktiska nätverket. De kan svara med vilken IP-adress de vill - även en som tillhör en phishing-webbplats.

2. Förgiftning av DNS-cache

Angriparen använder ett botnät eller en komprometterad enhet i sitt nätverk för att skicka falska svar på DNS-frågor och förgifta den lokala cacheminnet med felaktig information. Detta kan användas för att kapa domännamnssystem (DNS) och för attacker mot man-in-the-middle.

3. Kapning av DNS

Angriparen ändrar sin IP-adress så att det ser ut som om de är den auktoritativa namnservern för ett domännamn. De kan sedan skicka förfalskade DNS-svar till en klient som begär information om denna domän och styra dem till en IP-adress som kontrolleras av angriparen i stället för att använda offentliga DNS-servrar på rätt sätt. Den här attacken är vanligast mot kunder som inte har infört säkerhetsåtgärder på sina routrar eller brandväggar.

Hur förhindrar man DNS-spoofing?

Implementera mekanismer för upptäckt av DNS-spoofing

DNSSEC är en av de föreslagna lösningarna på detta problem. DNSSEC är ett tillägg till DNS som ger autentisering och integritet för poster och tillhandahåller icke auktoritativa data från DNS-servrar. Det säkerställer att svaren inte manipuleras under överföringen. Det ger också konfidentialitet för datatrafik mellan klienter och servrar, så att endast de med giltiga autentiseringsuppgifter kan dekryptera den.

Utför noggrann filtrering av DNS-trafik

Filtrering av DNS-trafik är en process där all inkommande och utgående trafik i nätverket inspekteras. På så sätt kan du blockera all misstänkt aktivitet i ditt nätverk. Du kan göra detta genom att använda en brandvägg eller annan säkerhetsprogramvara som erbjuder denna funktion.

Regelbundet tillämpa patchar på DNS-servrar

Tillämpa regelbundet säkerhetsuppdateringar på operativsystem, program och databaser.

Använd ett virtuellt privat nätverk (VPN)

Om du inte har tillgång till en HTTPS-anslutning kan du använda en VPN. En VPN skapar en krypterad tunnel mellan din dator och den webbplats eller tjänst du har tillgång till. Eftersom de krypterar trafiken i båda riktningarna förhindrar de internetleverantörer att se vilka webbplatser du besöker och vilka data du skickar eller tar emot.

Använd brandväggar

Installera en brandvägg på alla system som är anslutna till Internet. En brandvägg blockerar alla inkommande anslutningar som inte uttryckligen har tillåtits av nätverksadministratören.

Använd autentiseringsprotokoll för e-post

Du kan använda MTA-STS för att minska DNS-spoofing. De poster som sparas i MTA-STS policyfil som hämtas via HTTPS jämförs med MTA:s MX-poster som frågas ut via DNS. MTA:er cachelagrar också MTA-STS-principfiler, vilket gör det svårare att utföra en DNS-spoofing-attack.

Du kan övervaka och lösa problem med leveransbarhet genom att aktivera TLS-RPT så att mottagarna kan skicka TLS-rapporter via SMTP till din e-postadress. På så sätt kan du hålla dig uppdaterad om problem med en okrypterad anslutning. 

Aktivera loggning och övervakning av DNS-frågor

Aktivera loggning och övervakning av DNS-frågor så att du kan spåra obehöriga ändringar som gjorts på DNS-servrarna.

Slutord

DNS-förfalskning kan vara mycket besvärligt för både besökare och ägare av webbplatser. En angripares främsta motiv för att utföra en DNS-spoofing-attack är antingen personlig vinning eller överföring av skadlig kod. Därför är det viktigt att som webbplatsägare välja en pålitlig DNS-hostingtjänst som använder aktuella säkerhetsåtgärder.

Dessutom bör du som besökare på en webbplats "vara medveten om din omgivning", för om du märker några skillnader mellan den webbplats du förväntade dig att besöka och den webbplats du för närvarande besöker, bör du omedelbart lämna webbplatsen och försöka varna den legitima webbplatsägaren.