DNS attacker

Domain Name System känd mest som DNS, är en automatiserad tjänst som matchar resursnamn, såsom www.cisco.com, med den nödvändiga numeriska nätverksadressen, såsom IPv4- eller IPv6-adressen. Det inkluderar formatet för förfrågningar, svar och data och använder resursposter (RR) för att identifiera typen av DNS-svar.

Säkerhet för DNS är ofta förbisedd. Dock är det avgörande för nätverkets funktion och bör säkras.

DNS-attacker inkluderar följande:

  • DNS open resolver-attacker
  • DNS stealth-attacker
  • DNS domain shadowing-attacker
  • DNS tunneling-attacker

DNS Open Resolver attacker

En DNS open resolver attack utnyttjar DNS-servrar som är konfigurerade för att acceptera förfrågningar från vilken klient som helst på internet. Detta kan leda till att DNS-servrarna används som en del av en förstärkningsattack, där en liten förfrågan skickas till DNS-servern, som svarar med en mycket större mängd data till den adress som angriparen vill överbelasta. Dessa attacker är särskilt skadliga eftersom de utnyttjar legitima funktioner i DNS-protokollet för att förstärka trafiken, vilket gör det svårare att blockera attacken utan att också påverka legitima förfrågningar.

Många organisationer använder tjänster från offentligt öppna DNS-servrar såsom GoogleDNS (8.8.8.8) för att ge svar på förfrågningar. Denna typ av DNS-server kallas en öppen resolver. En DNS öppen resolver besvarar förfrågningar från klienter utanför sin administrativa domän.

DNS öppna resolvers är sårbara för flera skadliga aktiviteter som beskrivs i listan nedan.

  • DNS cache poisoning attacker – Hotaktörer skickar förfalskad, felaktig resurspostinformation (RR) till en DNS-resolver för att omdirigera användare från legitima webbplatser till skadliga webbplatser. DNS cache poisoning-attacker kan även användas för att informera DNS-resolvern om att använda en skadlig namnserver som tillhandahåller RR-information för skadliga aktiviteter.
  • DNS förstärkning- och reflektion attacker – Hotaktörer använder sig av DoS- eller DDoS-attacker på DNS öppna resolvers för att öka attackens volym och dölja den verkliga källan till attacken. Hotaktörer skickar DNS-meddelanden till de öppna resolvrarna med IP-adressen för ett målserver. Dessa attacker är möjliga eftersom den öppna resolvern kommer att svara på förfrågningar från vem som helst som ställer en fråga.
  • DNS resursförbrukningsattacker – En DoS-attack som förbrukar resurserna hos DNS öppna resolvers. Denna DoS-attack förbrukar alla tillgängliga resurser för att negativt påverka driften av DNS öppna resolvern. Effekten av denna DoS-attack kan kräva att DNS öppna resolvern måste startas om eller att deras tjänster måste stoppas och startas om.

DNS Stealth attacker

Hotaktörer använder avancerade tekniker för att dölja sina identiteter och aktiviteter på internet. En av dessa metoder är DNS stealth-tekniker, som möjliggör genomförandet av attacker utan att bli avslöjad. Nedan följer en förklaring av några sådana tekniker:

  • Fast Flux – Denna metod innebär att hotaktörer gömmer webbplatser för ”phishing” eller luring och distribution av skadliga program bakom ett ständigt föränderligt nätverk av infekterade DNS-servrar. Genom att kontinuerligt ändra DNS IP-adresserna, ibland inom loppet av bara några minuter, blir det svårt att lokalisera och blockera de skadliga servrarna. Botnet utnyttjar ofta Fast Flux för att effektivt dölja var skadlig aktivitet sker.
  • Double IP Flux – Genom att snabbt rotera både de IP-adresser som är kopplade till ett värdnamn och den auktoritativa namnservern som kontrollerar dessa poster, komplicerar hotaktörerna processen för att identifiera och neutralisera attackkällan. Denna metod försvårar ytterligare spårningen av skadlig aktivitet.
  • Domän genererings algoritmer – Hotaktörer implementerar algoritmer i skadliga program som genererar ett stort antal tillfälliga domännamn. Dessa domännamn används sedan som samlingspunkter för kommunikation med deras kommando- och kontrollservrar (C&C).

Genom att använda dessa stealth-tekniker kan hotaktörer fortsätta sina illasinnade aktiviteter med minskad risk för att upptäckas och stoppas. Det kräver avancerade säkerhetsåtgärder och ständig övervakning för att effektivt bekämpa dessa hot.

DNS Domain Shadowing attacker

Domain shadowing innebär att hotaktören samlar in kontouppgifter för domäner för att i hemlighet skapa flera underdomäner som ska användas under attackerna. Dessa underdomäner pekar vanligtvis på skadliga servrar utan att varna den faktiska ägaren av huvuddomänen.

DNS Tunneling

Hotaktörer som använder DNS tunneling placerar icke-DNS-trafik inom DNS-trafik. Denna metod kringgår ofta säkerhetslösningar när en hotaktör önskar kommunicera med botar inuti ett skyddat nätverk eller filtrera organisationens data, såsom en lösenordsdatabas. När hotaktören använder DNS tunneling, ändras de olika typerna av DNS-poster. Så här fungerar DNS tunneling för styrkommandon som skickas till ett botnät:

  1. Kommando delas upp i flera kodade bitar.
  2. Varje bit placeras i en undernivås domännamnsetikett i DNS-förfrågan.
  3. Eftersom det inte finns något svar från den lokala eller nätverksanslutna DNS på förfrågan, skickas begäran till internetleverantörens rekursiva DNS-servrar.
  4. Den rekursiva DNS-tjänsten kommer att vidarebefordra förfrågan till hotaktörens auktoritativa namnserver.
  5. Processen upprepas tills alla förfrågningar som innehåller bitarna har skickats.
  6. När hotaktörens auktoritativa namnserver tar emot DNS-förfrågningarna från de infekterade enheterna, skickar den svar på varje DNS-förfrågan, som innehåller de inkapslade, kodade kommandona.
  7. Skadeprogrammet på den infekterade enheten samlar ihop bitarna och utför kommandona som är dolda inom DNS-posten.

För att stoppa DNS tunneling måste nätverksadministratören använda ett filter som inspekterar DNS-trafik. Var särskilt uppmärksam på DNS-förfrågningar som är längre än genomsnittet eller de som har ett misstänkt domännamn. DNS-lösningar, som Cisco OpenDNS, blockerar mycket av DNS tunneling-trafiken genom att identifiera misstänkta domäner.