DNA står for "domenenavnsystem" og kan beskrives som en indeks for Internett. Det lar brukere gå inn på informasjon ved å oversette et domenenavn (som kaspersky.com) til den korresponderende IP-adressen som en nettleser trenger for å laste internettressurser (for eksempel artikler som denne). Som system brukes DNS til å spore, katalogisere og regulere nettsteder over hele verden.
For å få et mer detaljert bilde av hva DNS er, må vi se på hvordan det fungerer. Men det er viktig å først klargjøre begrepene involvert i dette temaet:
En internettprotokoll (IP)-adresse er nummeret tilordnet hver enkelte datamaskin og server. Disse ID-ene er det datamaskinene bruker til å finne og "snakke" med hverandre.
Et domene (eller domenenavn) er et tekstnavn som mennesker bruker til å huske, identifisere og koble seg til spesifikke nettsteder og serverne deres. Et domene som "www.kaspersky.com" brukes for eksempel som en enkel måte å forstå den faktiske målserver-ID-en dvs. — en IP-adresse.
Domenenavn-systemservere (DNS-servere eller DNS-navneservere) er et kollektiv på fire servertyper som utgjør "DNS-oppslag"-prosessen. De inkluderer resolver-navnserveren, rotnavnservere, toppnivådomene (TLD)-navneservere og autoritative navneservere. For å få en bedre forståelse, la oss beskrive detaljene for hver av serverne.
- Resolver-navnserver (eller gjentakende resolver) er oversettelseskomponenten til DNS-oppslagsprosessen. Den er utviklet for å motta forespørsler fra kunden (via en nettleser eller app) og kommunisere disse forespørslene til en serie nettservere (listet under) for å finne mål-IP-adressen til et domenenavn. Den kan respondere med tidligere lagrede data eller sende forespørslene til en rotnavneserver. Resolver-navnet er i konstant kommunikasjon med serverne under i løpet av en oppslagsprosess.
- Rotnavnserver (rotserver) er der alle DNS-oppslag begynner. Forestiller du deg DNS som et hierarki, er "rotsonen" på toppen. En rotserver er en DNS-navneserver som opererer i rotsonen. Den tjener ofte som et referansepunkt i oppslagsprosessen.
- Toppnivådomene (TLD)-navneserveren ligger et nivå under rotsonen. Neste fasen i oppslaget inneholder informasjon for alle domenenavn som inneholder en felles "domenesuffiks" dvs. .com, .net osv.
- Autorativ navneserver er den siste delen av oppslaget og inneholder informasjon spesifikt om domenenavnet det søkes etter. Den kan gi resolver-navneserveren riktig IP-adresse.
Nå som vi har opprettet DNS-definisjonen og en generell forståelse av DNS og dets servere, kan vi utforske nøyaktig hvordan den fungerer.
Hvordan fungerer DNS?
Når du søker etter et nettsted via et domenenavn på nettleseren, begynner du prosessen "oppslag". Hele oppslagsprosessen har seks trinn:
- Nettleseren og operativsystemet (OS) prøver å tilbakekalle IP-adressen tilknyttet domenenavnet. Om den er besøkt tidligere kan IP-adressen tilbakekalles fra datamaskinens minne eller hurtigminne.
- Prosessen fortsetter om ingen av komponentene vet hvor mål-IP-adressen er.
- OS-forespørslene forespør resolver-navneserveren for IP-adressen. Forespørselen starter søket gjennom serverkjeden for domenenavnesystemet for å finne den matchende IP-en for domenet.
- Forespørselen havner først på rotnavnserveren som leder forespørselen til TLD-serveren (via resolveren).
- TLD-serveren videresender forespørselen din, eller retter den, til den autoritative navneserveren (igjen via resolveren).
- Til slutt vil resolveren, gjennom kommunikasjon med den autoritative navneserveren, finne og levere IP-adressen til OS-et, som sender den tilbake til nettleseren, noe som gir deg nettstedet eller siden du ba om.
DNS-oppslagssystemet er det vitale rammeverket som brukes av hele Internett. Dessverre kan kriminelle utnytte sårbarheter i DNS slik at du må være oppmerksom på mulige svindler via omledninger, noe som ofte kalles "kopiering" og "forgiftning". For å hjelpe med å unngå disse truslene, la oss forklare hva DNS-kopiering og DNS-forgiftning er og hvordan de fungerer.
Definisjon av DNS-kopiering og -forgiftning
Forgiftning og kopiering av domenenavnsystem (DNS) er typer nettangrep som utnytter sårbarheter i DNS-serveren for å lede trafikk bort fra ekte servere mot falske. Når du har kommet til en svindelside, kan du lure på hvordan du skal løse problemet — selv om du er den eneste som kan. Du må vite nøyaktig hvordan det fungerer for å beskytte deg.
DNS-kopiering og, ved suffiks, forgiftning av DNS-hurtigbuffer er blant de mest villedende netttruslene. Uten å forstå hvordan Internett forbinder deg med nettsider, kan du bli lurt til å tro at selve nettstedet er hacket. I noen tilfeller kan det bare være enheten din. Enda verre kan nettsikkerhetserier bare stoppe noen av de DNS-kopiering-relaterte truslene.
Hvordan forgiftning og kopiering av DNS-hurtigbuffer fungerer
For DNS er de viktigste truslene doble:
- DNS-kopiering er trusselen som etterligner legitime servermål for å omdirigere et domenes trafikk. Intetanende ofre ender på skadelige nettsteder som er målet som kommer av ulike metoder av DNS-kopieringsangrep.
- Forgiftning av DNS-hurtigbuffer er en brukermetode for DNS-kopiering der systemet ditt loggfører svindel-IP-adressen i ditt lokale hurtigminne. Dette får DNS-en til å tilbakekalle det skadelige nettstedet spesifikt for deg, selv om problemet løses eller aldri eksisterte på serveren.
Metoder for DNS-kopiering eller forgiftning av hurtigbuffer
Blant de ulike metodene for DNS-kopieringsangrep er disse noen av de vanligste:
Mann-i-midten-kopiering: Der en angriper går mellom nettleseren og DNS-serveren. Et verktøy brukes til hurtigbufferforgiftning på din lokale enhet og serverforgiftning på DNS-serveren samtidig. Resultatet er en omdirigering til et skadelig nettsted på angriperens egen lokale server.
DNS-serverkapringer: Den kriminelle rekonfigurerer denne serveren for å lede alle forespørrende brukere til det skadelige nettstedet. Så snart en svindel-DNS føres til DNS-serveren, fører enhver IP-forespørsel om det kopierte domenet til det falske nettstedet.
Forgiftning av DNS-hurtigbuffer med spam: Koden for forgiftning av DNS-hurtigbuffer fins ofte i URL-er som sendes i spam-e-post. Disse e-postene prøver å skremme brukere til å klikke på den leverte URL-en, som så infiserer datamaskinen deres. Banner-annonser og -bilder — både e-poster og på upålitelige nettsteder — kan også føre brukere til denne koden. Når den er forgiftet, tar datamaskinen deg til falske nettsteder som kopieres for å virke ekte. Det er her de sanne truslene kommer inn på enhetene dine.
Risikoer for DNS-forgiftning og kopiering
Her er noen felles risikoer for DNS-forgiftning og -kopiering:
- Datatyveri
- Skadevareinfeksjon
- Stansede sikkerhetsoppdateringer
- Sensur
DNS-kopiering utgjør flere risikoer som hver utsetter dine enheter og persondata i fare.
Datatyveri kan være spesielt lukrativt for DNS-kopieringsangripere. Banknettsteder og populære nettbutikker rammes lett, noe som betyr at ethvert passord, kredittkort eller personinformasjon kan kompromitteres. Du omledes til phishing-nettsteder utformet for å innhente informasjon om deg.
Skadevareinfeksjon er en annen felles trussel med DNS-kopiering. Om en kopi omdirigerer deg, kan målet være et nettsted infisert med skadelige nedlastinger. Man automatiserer infeksjonen av systemet ditt enkelt med drive by-nedlastinger. Om du ikke bruker internettsikkerhet, utsettes du for risikoer som spionvare, keyloggers eller marker.
Hindrede sikkerhetsoppdateringer kan komme av en DNS-kopi. Om kopierte nettsteder omfatter leverandører av internettsikkerhet, utføres ikke legitime sikkerhetsoppdateringer. Dermed kan datamaskinen din utsettes for tilleggstrusler som virus eller trojanere.
Sensur er en risiko som er vanlig i noen deler av verden. Kina bruker for eksempel endringer i DNS for å sikre at alle nettsteder som ses i landet, er godkjente. Denne blokkeringen på nasjonsnivå, kalt "Den kinesiske brannmuren", er et eksempel på hvor mektig DNS-kopiering kan være.
Det er spesielt vanskelig å fjerne forgiftning av DNS-hurtigbuffer. Siden det å rense en infisert server ikke fjerner problemet fra en stasjonær maskin, laptop eller en mobilenhet, vender enheten tilbake til det kopierte nettstedet. Videre kompromitteres ikke rene stasjonære maskiner som kobler til en infisert server igjen.
Hvordan hindre forgiftning og kopiering av DNS-hurtigbuffer
Brukerbeskyttelse er begrenset når man prøver å hindre DNS-kopiering. Nettstedeiere og serverleverandører får større evne til å beskytte seg selv og brukerne sine. Begge parter må prøve å unngå kopier for å beskytte alle.
Slik hindrer man slike angrep for nettstedeiere og DNS-serviceleverandører:
- Oppdagelsesverktøy for DNS-kopiering
- Sikkerhetssuffikser for domenenavnsystem
- Ende-til-ende-kryptering
Slik hindrer man disse truslene for endepunktbrukere:
- Klikk aldri på en lenke du ikke kjenner igjen
- Skann regelmessig etter skadelig programvare på datamaskinen
- Rens DNS-hurtigbufferen din for å fjerne en forgiftning
- Bruk et virtuelt, privat nettverk (VPN)
Forhindringstips for nettstedeiere og leverandører av DNS-servere
Som nettstedeier eller DNS-serverleverandør har vi ansvar for å forsvare brukerne. Du kan iverksette ulike beskyttelsesverktøy og -protokoller for å stopp trusler. Blant disse ressursene er det lurt å bruke noe av det følgende:
- Oppdagelsesverktøy for DNS-kopiering: Som ekvivalent for sikkerhetsprodukter for sluttbrukeren skanner disse verktøyene proaktivt alle data som mottas før de sendes ut.
- Sikkerhetssuffikser for domenenavnsystem: DNSSEC-systemer er i bunn og grunn en DNS-etikett som er "bekreftet ekte" og holder et DNS-oppslag ekte og kopifritt.
- Ende-til-ende-kryptering: Krypterte data, sendt til DNS-forespørsler og svar, holder unna kriminelle idet de ikke klarer å kopiere det unike sikkerhetssertifikatet for det ekte nettstedet.
Forhindringstips for brukere
Brukere er spesielt sårbare overfor slike typer trusler. Følg disse enkle tipsene for å ikke å bli offer for et DNS-forgiftningsangrep.
- Klikk aldri på en lenke du ikke gjenkjenner. Dette omfatter e-poster, tekstmeldinger eller lenker i sosiale medier. Verktøy som forkorter URL-er kan ytterligere maskere lenkedestinasjoner for å unngå disse så mye som mulig. Tast alltid inn URL-en manuelt i adresselinjen for særskilt sikkerhet. Men gjør bare det etter at du har bekreftet at dette er offisielt og legitimt.
- Skann datamaskinen din regelmessig for skadevare. Selv om du ikke oppdaterer forgiftningen av DNS-hurtigbufferen, hjelper sikkerhetsprogramvaren deg med å oppdage og fjerne infeksjoner som oppstår av dette. Siden kopierte nettsteder kan levere alle slags skadeprogrammer, bør du alltid skanne etter virus, spionvare og andre skjulte problemer (det omvendte er også mulig, idet skadeprogrammet kan levere kopier). Gjør alltid det med et lokalt program heller enn en vertsversjon siden forgiftning kan kopiere nettbaserte resultater.
- Rens DNS-hurtigbufferen for å fjerne forgiftningen om nødvendig. Forgiftning av hurtigbuffer holder seg i systemet ditt lenge om du ikke renser vekk de infiserte dataene. Denne prosessen kan være så enkel som å åpne Windows-programmet "Kjør" og taste ipconfig /flushdns” som kommando. Mac, iOS og Android har også rensemuligheter. De ligger vanligvis i alternativet "nullstilling av nettverksinnstillinger", veksle til flymodus, vis enhetsreboot eller på en spesifikk nettadresse for dette landet. Slå opp enhetens spesifikke metode for veiledning.
- Bruk et virtuelt privat nettverk (VPN). Disse tjenestene gir deg en kryptert tunnel for all nettrafikk og bruk av private DNS-servere som utelukkende bruker ende-til-ende-krypterte forespørsler. Dette gir deg servere som er langt mer motstandsdyktige mot DNS-kopiering og forespørsler som ikke kan avbrytes.
Ikke utsett deg for DNS-kopiering og skadevareangrep. Beskytt deg i dag med Kaspersky Home Security-produkter.
Relaterte artikler og koblinger:
- Hva er svindelkopiering?
- Hva er pharming og hvordan beskytter du deg?
- Hva er en IP-adresse, og hva betyr den?
- Typer og eksempler på skadevare
Relaterte produkter: