Om du inte var fastklistrad vid internet för några veckor sedan kan du ha missat det massiva avbrottet som drabbade östkusten i oktober. 21
Många populära webbplatser som Twitter, Reddit, Netflix, Etsy och Spotify var otillgängliga för tusentals användare.
Experter har sedan dess förklarat att avbrottet var resultatet av en enorm attack mot DNS-tjänsterna hos Dyn, ett företag som arbetar med internetinfrastruktur.
Oro för DNS-attacker har legat i skymundan för många företag och IT-företag – men det kan vara på väg att förändras.
Företag som Google, New York Times och flera banker har fallit offer för en mängd olika DNS-attacker under de senaste åren.
Med tanke på att liknande attacker säkerligen kommer att komma, vilka typer av attacker bör du hålla utkik efter?
Attack #1: DNS-förgiftning och spoofing
DNS-förgiftning kan i slutändan leda användarna till fel webbplats. En användare kan till exempel skriva in ”msn.com” i en webbläsare, men i stället laddas en sida som angriparen valt.
Då användarna skriver in rätt domännamn kanske de inte inser att webbplatsen de besöker är falsk.
Detta skapar ett perfekt tillfälle för angriparna att använda phishing-tekniker för att utvinna information – vare sig det är inloggningsuppgifter eller kreditkortsinformation – från intet ont anande offer.
Angreppet kan vara förödande, beroende på flera faktorer, bland annat angriparens avsikt och omfattningen av DNS-förgiftningen.
Hur gör angriparna detta? Genom att utnyttja DNS-cachelagringssystemet.
Trickle-down DNS-cachelagring
DNS-cachelagring används överallt på webben för att påskynda laddningstiderna och minska belastningen på DNS-servrarna. När ett system frågar en DNS-server och får ett svar sparas informationen i en lokal cache för snabbare hänvisning.
Detta tillvägagångssätt används över hela webben på ett trickle-down sätt. Posterna på en DNS-server används för att cachelagrafera posterna på en annan DNS-server. Den servern används för att cachelagrafera DNS-poster i nätverkssystem, t.ex. routrar. Dessa poster används för att skapa cacher på lokala maskiner.
DNS-cacher med gift
DNS-påverkan uppstår när en av dessa cacher äventyras.
Om cacheminnet på en nätverksrouter äventyras kan till exempel någon som använder den felaktigt omdirigeras till en bedräglig webbplats. De falska DNS-posterna trillar sedan ner till DNS-cachen på varje användares dator.
Detta kan också inträffa högre upp i kedjan.
En större DNS-server kan t.ex. äventyras. Detta kan förgifta cacheminnena för DNS-servrar som underhålls av internetleverantörer. Giftet kan rinna ner till deras kunders nätverkssystem och enheter och potentiellt leda miljontals människor till webbplatser som valts av en angripare.
Låter det galet? Det är det inte. År 2010 blockerades internetanvändare i hela USA från webbplatser som Facebook och YouTube på grund av att en DNS-server hos en högt uppsatt internetleverantör av misstag hämtade poster från den kinesiska brandväggen.
Antidot mot giftet
DNS cache poisoning är mycket svårt att upptäcka. Det kan pågå tills TTL, eller time to live, löper ut för cachedata eller tills en administratör inser och löser problemet.
Avhängigt av TTL:s varaktighet kan det ta flera dagar för servrarna att lösa problemet på egen hand.
De bästa metoderna för att förhindra en DNS cache poisoning-attack är regelbunden uppdatering av program, inställning av korta TTL-tider och regelbunden rensning av DNS-caches på lokala maskiner och nätverkssystem.
Attack nr 2: DNS-förstärkning för DDoS
DNS-förstärkningsattacker är inte hot mot DNS-systemen. Istället utnyttjar de DNS-tjänsternas öppna natur för att förstärka kraften i DDoS-attacker (Distributed Denial of Service).
DDoS-attacker är inte främmande för rampljuset och riktar sig mot välkända webbplatser som BBC, Microsoft, Sony och Krebs on Security.
Koppla upp och förstärk
DDoS-attacker sker vanligen med ett botnät. Angriparen använder ett nätverk av malware-infekterade datorer för att skicka stora mängder trafik till ett mål, t.ex. en server. Målet är att överbelasta målet och göra det långsamt eller krascha.
Amplifieringsattacker ger mer kraft. I stället för att skicka trafik direkt från ett botnät till ett offer skickar botnätet förfrågningar till andra system. Dessa system svarar genom att skicka ännu större mängder trafik till offret.
DNS-förstärkningsattacker är ett perfekt exempel. Angriparna använder ett botnät för att skicka tusentals sökningsförfrågningar till öppna DNS-servrar. Förfrågningarna har en förfalskad källadress och är konfigurerade för att maximera mängden data som returneras av varje DNS-server.
Resultatet: en angripare skickar relativt små mängder trafik från ett botnät och genererar proportionellt sett större – eller ”förstärkta” – trafikvolymer från DNS-servrar. Den förstärkta trafiken riktas till ett offer och får systemet att vackla.
Avleda och försvara
UTM-brandväggar kan konfigureras så att de känner igen och stoppar DDoS-attacker när de inträffar genom att släppa artificiella paket som försöker översvämma system i nätverket.
Ett annat sätt att bekämpa DDoS-attacker är att vara värd för din klients arkitektur på flera servrar. På så sätt kan en annan server fortfarande vara tillgänglig om en server blir överbelastad.
Om attacken är liten kan de IP-adresser som skickar trafiken blockeras. Dessutom kan en ökning av serverns bandbredd göra det möjligt för den att absorbera en attack.
Det finns också många dedikerade, betalda lösningar som är utformade enbart för att bekämpa DDoS-attacker.
Attack nr 3: DNS attackeras av DDoS
DDoS-attacker kan användas mot många olika typer av system. Detta inkluderar DNS-servrar.
En lyckad DDoS-attack mot en DNS-server kan få den att krascha, vilket gör att de användare som är beroende av servern inte kan surfa på webben (observera: användarna kommer troligen fortfarande att kunna nå webbplatser som de nyligen besökt, förutsatt att DNS-posten sparas i en lokal cache).
Det här var vad som hände med Dyns DNS-tjänster, vilket beskrevs i inledningen av detta inlägg. En DDoS-attack överväldigade företagets system och fick dem att krascha, vilket hindrade tusentals människor från att komma åt viktiga webbplatser.
Hur du försvarar dig mot dessa attacker beror på dina systems roll i miljön.
Hostar du till exempel en DNS-server? I så fall finns det åtgärder du kan vidta för att skydda den, till exempel genom att hålla den patchad och låta endast lokala maskiner få tillgång till den.
Kanske försöker du nå den DNS-server som attackeras? I så fall kommer du troligen att få problem med att ansluta.
Det är därför det är en bra idé att konfigurera dina system så att de förlitar sig på mer än en DNS-server. På så sätt har du en annan server som reserv om den primära servern går ner.
Vi rekommenderar Googles kostnadsfria offentliga DNS-servrar: 8.8.8.8.8 och 8.8.4.4. Instruktioner finns även för IPv6-adresser.
Förhindra och mildra attacker
Angrepp på DNS-servrar är en stor risk för nätverkssäkerheten och bör tas på allvar. Både företag och IT-företag måste införa skyddsåtgärder för att förhindra och minska effekterna av en sådan attack om de någon gång skulle falla offer för en.
Som ett resultat av sådana attacker har ICANN börjat betona dessa risker med DNSSEC, en stigande teknik som används för att förhindra DNS-serverattacker.
DNSSEC fungerar för närvarande genom att ”signera” varje DNS-förfrågan med en certifierad signatur för att garantera äktheten. Detta hjälper servrarna att sortera bort falska förfrågningar.
Den enda nackdelen med den här tekniken är att den måste implementeras i alla stadier av DNS-protokollet för att fungera korrekt – vilket sakta men säkert håller på att komma på plats.
Att hålla ett öga på teknik som utvecklas, såsom DNSSEC, samt att hålla sig uppdaterad om de senaste DNS-attackerna, är ett bra sätt att hålla sig i framkant.
