DNS står för "domain name system" och kan beskrivas som ett index för Internet. Det gör det möjligt för användare att få tillgång till information genom att översätta ett domännamn (t.ex. kaspersky.com) till den motsvarande IP-adressen som webbläsaren behöver för att ladda internetresurser (t.ex. artiklar som den här). Som system används DNS för att spåra, katalogisera och reglera webbplatser över hela världen.
För att få en mer detaljerad bild av vad DNS är måste vi ta en titt på hur DNS fungerar. Det är dock viktigt att först klargöra vilka termer som används i detta ämne:
En IP-adress (Internet Protocol) är det nummer som tilldelas varje unik dator och server. Det är dessa identifikatorer som datorer använder för att hitta och "prata" med varandra.
En domän (eller ett domännamn) är ett textnamn som människor använder för att komma ihåg, identifiera och ansluta till specifika webbplatser och deras servrar. Till exempel används en domän som "www.kaspersky.com" som ett enkelt sätt att förstå det faktiska ID:t för målservern, dvs. en IP-adress.
DNS-servrar (eller DNS-namnsservrar) är ett kollektiv av fyra servertyper som ingår i "DNS-sökningsprocessen". Dessa innefattar resolverservrar, rotnamnsservrar, namnservrar för toppdomäner (TLD) och auktoritativa namnservrar. För att få en bättre förståelse ska vi beskriva var och en av dessa servrar närmare:
- Resolverserver (eller rekursiv resolver) är den översättande komponenten i DNS-sökningsprocessen. Den är utformad för att ta emot frågor från klienten (via en webbläsare eller en app) och sedan skicka dessa frågor till en rad webbservrar (listade nedan) för att hitta mål-IP-adressen för ett domännamn. Den kan svara med tidigare cachade data eller skicka frågan till en rotnamnsserver. Resolvertjänsten kommunicerar hela tiden med nedanstående servrar under en sökningsprocess.
- Rotnamnsserver (rotserver) är den plats där alla DNS-sökningar börjar. Om du föreställer dig DNS som en hierarki är "rotzonen" högst upp. En rotserver är en DNS-namnserver i rotzonen. Den fungerar ofta som en referenspunkt vid en sökning.
- Namnservrar för toppdomäner (TLD) ligger en nivå under rotzonen. Nästa fas i sökningen innehåller information om alla domännamn som innehåller ett gemensamt "domäntillägg", dvs. .com, .net osv.
- Den auktoritativa namnservern är den sista delen av sökningen och innehåller information som är specifik för det sökta domännamnet. Den kan förse resolverservern med rätt IP-adress.
Nu när vi har fastställt vad DNS är och en allmän förståelse av DNS och dess servrar kan vi undersöka exakt hur det fungerar.
Hur fungerar DNS?
När du söker efter en webbplats via ett domännamn i din webbläsare påbörjar du en process som kallas "lookup" eller uppslagning. Hela uppslagningsresan består av sex steg:
- Webbläsaren och operativsystemet försöker komma ihåg den IP-adress som är kopplad till domännamnet. Om den har besökts tidigare kan IP-adressen hämtas från datorns interna lagring eller från cacheminnet.
- Processen fortsätter om ingen av komponenterna vet var mål-IP-adressen finns.
- Operativsystemet frågar resolverservern om IP-adressen. Den här frågan startar sökningen genom serverkedjan i domännamnssystemet för att hitta en matchande IP-adress för domänen.
- Frågan kommer först till rotnamnsservern, som vidarebefordrar frågan till TLD-servern (via resolvern).
- TLD-servern vidarebefordrar sedan din fråga till den auktoritativa namnservern (återigen via resolvern).
- Genom kommunikation med den auktoritativa namnservern kommer resolvern att hitta och leverera IP-adressen till operativsystemet, som vidarebefordrar den till webbläsaren och ger dig den webbplats eller sida som du begärde.
DNS-sökningsprocessen är ett viktigt ramverk som används av hela internet. Tyvärr kan brottslingar missbruka sårbarheter i DNS, vilket innebär att du måste vara medveten om eventuella bedrägerier via omdirigeringar, ofta kallade "spoofing" och "förgiftning". För att hjälpa dig att undvika dessa hot ska vi förklara vad DNS-spoofing och DNS-förgiftning är och hur de fungerar.
Definition av DNS-spoofing DNS-förgiftning
Förgiftning och spoofing av DNS är typer av cyberattacker som utnyttjar sårbarheter i DNS-servrar för att avleda trafik från legitima servrar till falska servrar. När du väl har kommit till en bedräglig sida kan det vara svårt att se hur du ska lösa problemet, trots att det bara är du som kan lösa det. För att skydda dig måste du veta exakt hur det fungerar.
DNS-spoofing och, som konsekvens, DNS-cacheförgiftning är bland de mer bedrägliga cyberhoten. Om du inte förstår hur internet kopplar dig till webbplatser kan du bli lurad att tro att själva webbplatsen är hackad. I vissa fall kan det vara bara din enhet. Ännu värre är att cybersäkerhetsprogrammen bara kan stoppa en del av de hot som DNS-spoofing innebär.
Hur DNS-cacheförgiftning och spoofing fungerar
När det gäller DNS finns det två framträdande hot:
- DNS-spoofing är det resulterande hotet som efterliknar legitima serverdestinationer för att omdirigera trafiken på en domän. Ovetande offer hamnar på skadliga webbplatser, vilket är målet med olika metoder för DNS-spoofing.
- DNS-cacheförgiftning är en metod för DNS-spoofing som innefattar slutanvändaren där systemet loggar den falska IP-adressen i det lokala cacheminnet. Detta leder till att DNS minns den dåliga webbplatsen specifikt för dig, även om problemet blir löst på servern eller aldrig fanns där.
Metoder för DNS-spoofing eller cacheförgiftning.
Bland de olika metoderna för DNS-spoofing är dessa några av de vanligaste:
Lurendrejeri med man-i-mitten: När en angripare går in mellan din webbläsare och DNS-servern.. Ett verktyg används för att samtidigt förgifta cacheminnet på din lokala enhet och förgifta servern på DNS-servern. Resultatet är en omdirigering till en skadlig webbplats som finns på angriparens egen lokala server.
Kapning av DNS-servrar: Brottslingen konfigurerar om servern direkt för att styra alla anslutande användare till den skadliga webbplatsen. När en bedräglig DNS-post väl har lagts in på DNS-servern kommer alla IP-förfrågningar efter den spoofade domänen att leda till den falska webbplatsen.
DNS-cacheförgiftning genom skräppost: Koden till en DNS-förgiftning bäddas ofta in i webbadresser som skickas via skräppostmeddelanden. Med sådana meddelanden vill angriparna skrämma användarna till att klicka på webbadressen i meddelandet. Detta leder i sin tur till att deras dator blir infekterad. Användarna kan även förmås att släppa in skadlig kod via bilder och bannerannonser – både i e-brev och på opålitliga webbplatser. När din dator väl är förgiftad kommer den att ta dig till falska webbplatser som är spoofade för att se ut som riktiga webbplatser. Det är här de verkliga hoten kommer in på dina enheter.
Riskerna med DNS-förgiftning och DNS-spoofing
Här är några vanliga risker med DNS-förgiftning och DNS-spoofing:
- Datastöld
- Infektering med skadlig programvara
- Stoppade säkerhetsuppdateringar
- Censur
DNS-spoofing innebär flera risker, som alla kan skada dina enheter och personuppgifter.
Datastöld kan vara särskilt lukrativt för DNS-spoofare. Cyberbrottslingar kan lätt attackera bankers och stora e-handelsföretags webbplatser. Det innebär en risk för att lösenord, personlig information och kreditkortsupplysningar kan stjälas. Omdirigeringarna leder till nätfiskewebbplatser som är utformade för att samla in din information.
Infektion med skadlig programvara är ett annat vanligt hot med DNS-spoofing. Om en spoofing omdirigerar dig kan destinationen vara en webbplats som är infekterad med skadliga nedladdningar. "Drive by downloads" är ett enkelt sätt att automatisera infektionen av ditt system. Om du inte använder internetsäkerhet är du i slutändan utsatt för risker som spionprogram, tangentbordsloggning och maskar.
Säkerhetsuppdateringar kan stoppas på grund av DNS-spoofing. Om det finns internetsäkerhetsleverantörer bland de spoofade webbplatserna kommer legitima säkerhetsuppdateringar inte att utföras. Som ett resultat av detta kan din dator utsättas för ytterligare hot, t.ex. virus eller trojaner.
Censur är en risk som faktiskt är vanlig i vissa delar av världen. Kina använder t.ex. DNS-modifieringar för att se till att alla webbplatser som visas i landet är godkända. Denna blockering på nationell nivå, som kallas "Gyllene skölden", är ett exempel på hur kraftfull DNS-spoofing kan vara.
Det är särskilt svårt att eliminera DNS-cacheförgiftning. Eftersom rengöring av en infekterad server inte gör att problemet försvinner från en stationär eller mobil enhet, kommer enheten att återvända till den förfalskade webbplatsen. Dessutom kommer rena datorer som ansluter till en infekterad server att bli osäkra igen.
Hur man förhindrar DNS-cacheförgiftning och DNS-spoofning
När det gäller att förhindra DNS-spoofing är skyddet på användarsidan begränsat. Webbplatsägare och serverleverantörer har lite större möjligheter att skydda sig själva och sina användare. För att skydda alla på lämpligt sätt måste båda parter försöka undvika spoofning.
Så här kan webbplatsägare och DNS-tjänsteleverantörer förhindra dessa attacker:
- Verktyg för att upptäcka DNS-spoofing
- Säkerhetstillägg för domännamnssystem
- Totalsträckskryptering
På följande sätt kan du som slutanvändare förebygga dessa hot:
- Klicka aldrig på en länk som du inte känner igen
- Sök regelbundet efter skadlig programvara i datorn
- Rensa DNS-cacheminnet för att motverka förgiftning
- Använd VPN (Virtual Private Network)
Förebyggande tips för webbplatsägare och DNS-serverleverantörer
Som webbplatsägare eller DNS-serverleverantör är det du som bär ansvaret för att skydda användarna. Du kan utnyttja olika skyddsverktyg och protokoll för att hålla hoten borta. Bland dessa resurser är det klokt att använda några av följande:
- Verktyg för att upptäcka DNS-spoofing: Som en motsvarighet till säkerhetsprodukter för slutanvändare skannar dessa upptäcktsverktyg proaktivt all data som tas emot innan de skickas ut.
- Säkerhetstillägg för DNS (DNSSEC): DNSSEC-systemet är i princip en verifieringsmärkning för DNS och hjälper till att hålla DNS-sökningen autentisk och sabotagefri.
- Totalsträckskryptering: Krypterade data som skickas för DNS-förfrågningar och svar håller brottslingar borta eftersom de inte kan kopiera det unika säkerhetscertifikatet för den legitima webbplatsen.
Förebyggande tips för användare
Användare är särskilt sårbara för denna typ av hot. För att undvika att bli offer för en attack med DNS-förgiftning bör du följa dessa enkla tips:
- Klicka aldrig på en länk som du inte känner igen. Detta inkluderar e-post, textmeddelanden och länkar i sociala medier. Verktyg som förkortar webbadresser kan ytterligare dölja länkdestinationer, så undvik dem så mycket som möjligt. För att vara extra säker bör du alltid välja att skriva in webbadresser i adressfältet manuellt. Men gör det först när du har bekräftat att den är officiell och legitim.
- Sök regelbundet efter skadlig kod på din dator. Även om du kanske inte kan upptäcka DNS-cacheförgiftning hjälper ditt säkerhetsprogram dig att upptäcka och ta bort eventuella infektioner. Eftersom falska webbplatser kan leverera alla typer av skadliga program bör du alltid söka efter virus, spionprogram och andra dolda problem (det omvända är också möjligt, eftersom skadlig programvara kan leverera falska program). Skanna alltid med ett lokalt installerat program i stället för via en värdtjänst, eftersom du kan få falska webbaserade resultat om din dator utsatts för DNS-förgiftning.
- Rensa DNS-cacheminnet för att motverka förgiftning om det behövs. Cacheförgiftningen stannar kvar i ditt system på lång sikt om du inte rensar ut infekterade data. Den här processen kan vara så enkel som att öppna Windows-programmet "Kör" och skriva in kommandot "ipconfig /flushdns". Mac, iOS och Android har också rensningsalternativ. Dessa återfinns vanligtvis i ett alternativ för återställning av nätverksinställningar, omkoppling av flygplansläge, omstart av enheten eller på en specifik adress i webbläsaren. Titta vad din specifika enhet har för vägledning i tillvägagångssättet.
- Använd ett virtuellt privat nätverk (VPN). Dessa tjänster ger dig en krypterad tunnel för all din webbtrafik och användning av privata DNS-servrar som uteslutande använder totalsträckskrypterade förfrågningar. Resultatet ger dig servrar som är mycket mer motståndskraftiga mot DNS-spoofing och förfrågningar som inte kan avbrytas.
Låt dig inte bli sårbar för DNS-spoofing och attacker med skadlig programvara. Skydda dig själv idag med produkter från Kaspersky Home Security.
Relaterade artiklar och länkar:
- Vad är spoofing?
- Vad är pharming och hur skyddar man sig?
- Vad är en IP-adress och vad innebär den?
- Typer av skadlig programvara och exempel på skadlig programvara
Relaterade produkter: