Medmindre du var limet til internettet for et par uger siden, har du måske overset den massive afbrydelse, der ramte østkysten i oktober. 21
Mange populære websteder som Twitter, Reddit, Netflix, Etsy og Spotify var utilgængelige for tusindvis af brugere.
Eksperter har siden erklæret, at nedbruddet var resultatet af et stort angreb på DNS-tjenester hos Dyn, et internetinfrastrukturfirma.
Bekymringer om DNS-angreb har ligget i baggrunden for mange virksomheder og it-virksomheder – men det er måske ved at ændre sig.
Firmaer som Google, The New York Times og flere banker er blevet ofre for en række DNS-angreb i de seneste år.
Med lignende angreb, der helt sikkert vil komme, hvilke typer skal du så holde øje med?
Angreb nr. 1: DNS-forgiftning og spoofing
DNS-forgiftning kan i sidste ende lede brugerne til det forkerte websted. En bruger kan f.eks. indtaste “msn.com” i en webbrowser, men en side, som angriberen har valgt, indlæses i stedet.
Da brugerne indtaster det korrekte domænenavn, er de måske ikke klar over, at det websted, de besøger, er falsk.
Dette skaber en perfekt mulighed for angribere til at bruge phishing-teknikker til at udvinde oplysninger – det være sig log-in-oplysninger eller kreditkortoplysninger – fra intetanende ofre.
Angrebet kan være ødelæggende, afhængigt af flere faktorer, herunder angriberens hensigt og omfanget af DNS-forgiftning.
Hvordan gør angriberne dette? Ved at udnytte DNS-caching-systemet.
Trickle-down DNS-caching
DNS-caching bruges overalt på internettet til at fremskynde indlæsningstider og mindske belastningen på DNS-servere. Kort sagt, når et system forespørger en DNS-server og modtager et svar, gemmer det oplysningerne i en lokal cache for hurtigere at kunne henvise til dem.
Denne fremgangsmåde anvendes på tværs af internettet i en trickle-down-metode. Posterne på en DNS-server bruges til at cache posterne på en anden DNS-server. Denne server bruges til at cache DNS-poster på netværkssystemer som f.eks. routere. Disse poster bruges til at oprette caches på lokale maskiner.
Forgiftede DNS-caches
DNS poisoning opstår, når en af disse caches er kompromitteret.
Fors eksempelvis, hvis cachen på en netværksrouter er kompromitteret, kan alle, der bruger den, blive omdirigeret til et bedragerisk websted. De falske DNS-poster triller derefter ned til DNS-cacherne på hver enkelt brugers maskine.
Dette kan også ske højere oppe i kæden.
Det kan f.eks. ske, hvis en større DNS-server bliver kompromitteret. Dette kan forgifte caches af DNS-servere, der vedligeholdes af internetudbydere. Forgiftningen kan trænge ned til deres kunders netværkssystemer og enheder og potentielt omdirigere millioner af mennesker til websteder, der er udvalgt af en angriber.
Lydder det skørt? Det er det ikke. I 2010 blev internetbrugere i hele USA blokeret for websteder som Facebook og YouTube, fordi en DNS-server hos en højtstående internetudbyder ved et uheld hentede poster fra Great Firewall of China.
Antidot mod giften
DNS-cacheforgiftning er meget vanskelig at opdage. Den kan vare, indtil TTL, eller time to live, udløber for de cachede data, eller en administrator opdager og løser problemet.
Afhængigt af TTL’ens varighed kan det tage dage, før serverne løser problemet af sig selv.
De bedste metoder til at forhindre et DNS cache poisoning-angreb omfatter regelmæssig opdatering af programmer, fastsættelse af korte TTL-tider og regelmæssig rydning af DNS-cachen på lokale maskiner og netværkssystemer.
Angreb nr. 2: DNS-forstærkning til DDoS
DNS-forstærkningsangreb er ikke trusler mod DNS-systemerne. I stedet udnytter de DNS-tjenesternes åbne karakter til at styrke kraften af DDoS-angreb (distributed denial of service).
DDoS-angreb er ikke fremmede for rampelyset, idet de er rettet mod kendte websteder som BBC, Microsoft, Sony og Krebs on Security.
Kranke op og forstærke
DoS-angreb sker typisk med et botnet. Angriberen bruger et netværk af malware-inficerede computere til at sende store mængder trafik til et mål, f.eks. en server. Målet er at overbelaste målet og gøre det langsomt eller få det til at gå ned.
Amplifikationsangreb giver mere slagkraft. I stedet for at sende trafik direkte fra et botnet til et offer, sender botnettet anmodninger til andre systemer. Disse systemer svarer ved at sende endnu større mængder trafik til offeret.
DNS-forstærkningsangreb er et perfekt eksempel. Angribere bruger et botnet til at sende tusindvis af opslagsforespørgsler til åbne DNS-servere. Anmodningerne har en forfalsket kildeadresse og er konfigureret til at maksimere mængden af data, der returneres af hver DNS-server.
Resultatet: En angriber sender relativt små mængder trafik fra et botnet og genererer forholdsmæssigt større – eller “forstærkede” – mængder af trafik fra DNS-servere. Den forstærkede trafik sendes til et offer, hvilket får systemet til at gå i stå.
Afværge og forsvare
UTM-firewalls kan konfigureres til at genkende og stoppe DDoS-angreb, når de opstår, ved at droppe kunstige pakker, der forsøger at oversvømme systemer på netværket.
En anden måde at bekæmpe DDoS-angreb på er at hoste din klientarkitektur på flere servere. På den måde vil en anden server stadig være tilgængelig, hvis den ene server bliver overbelastet.
Hvis angrebet er lille, kan de IP-adresser, der sender trafikken, blokeres. Derudover kan en forøgelse af serverens båndbredde gøre den i stand til at absorbere et angreb.
Der findes også mange dedikerede, betalte løsninger, der udelukkende er designet til at bekæmpe DDoS-angreb.
Angreb nr. 3: DNS angrebet af DDoS
DDoS-angreb kan bruges mod mange forskellige typer systemer. Dette omfatter DNS-servere.
Et vellykket DDoS-angreb mod en DNS-server kan få den til at gå ned og gøre de brugere, der er afhængige af serveren, ude af stand til at surfe på nettet (bemærk: Brugerne vil sandsynligvis stadig kunne nå de websteder, de har besøgt for nylig, forudsat at DNS-posten er gemt i en lokal cache).
Det er, hvad der skete med Dyns DNS-tjenester, som beskrevet i indledningen af dette indlæg. Et DDoS-angreb overbelastede virksomhedens systemer og fik dem til at gå ned, hvilket forhindrede tusindvis af mennesker i at få adgang til vigtige websteder.
Hvordan du skal forsvare dig mod disse angreb afhænger af dine systemers rolle i miljøet.
Hoster du f.eks. en DNS-server? I så fald er der skridt, du kan tage for at beskytte den, f.eks. ved at holde den patchet og kun tillade lokale maskiner at få adgang til den.
Måske forsøger du at nå den DNS-server, der bliver angrebet? I så fald vil du sandsynligvis have problemer med at oprette forbindelse.
Det er derfor en god idé at konfigurere dine systemer til at være afhængige af mere end én DNS-server. På den måde har du en anden server som nødløsning, hvis den primære server går ned.
Vi anbefaler Googles gratis offentlige DNS-servere: 8.8.8.8.8 og 8.8.4.4. Der findes også instruktioner til IPv6-adresser.
Forebyg og begræns angreb
DNS-serverangreb er en stor risiko for netværkssikkerheden og bør tages alvorligt. Både virksomheder og it-virksomheder skal implementere sikkerhedsforanstaltninger for at forebygge og reducere virkningerne af et sådant angreb, hvis de skulle blive ofre for et.
Som følge af sådanne angreb er ICANN begyndt at understrege disse risici med DNSSEC, en stigende teknologi, der bruges til at forebygge DNS-serverangreb.
DNSSEC fungerer i øjeblikket ved at “signere” hver enkelt DNS-anmodning med en certificeret signatur for at sikre ægthed. Dette hjælper servere med at frasortere falske anmodninger.
Den eneste ulempe ved denne teknologi er, at den skal implementeres i alle faser af DNS-protokollen for at fungere korrekt – hvilket langsomt men sikkert er på vej.
Det er en god måde at være på forkant med udviklingen af teknologi som DNSSEC samt at holde sig ajour med de seneste DNS-angreb.