Öppna DNS-resolvers

Ur ett säkerhetsperspektiv är DNS särskilt känsligt eftersom det ursprungligen designades utan starka skyddsmekanismer. Det innebär att angripare kan utnyttja olika svagheter för att exempelvis avlyssna trafik, manipulera svar eller överbelasta servrar.

För att förstå hur dessa hot fungerar är det viktigt att känna till de vanligaste typerna av DNS-attacker. I detta avsnitt kommer vi att gå igenom centrala säkerhetsproblem kopplade till DNS-resolvers, med fokus på hur de uppstår, hur de utnyttjas och vilka konsekvenser de kan få i ett nätverk.

DNS Open Resolver-attacker

Normalt sett är en DNS-resolver konfigurerad för att endast hantera förfrågningar från ett internt nätverk. Men om den är felkonfigurerad kan den bli “öppen” och därmed tillgänglig för alla.

En öppen DNS-resolver attack utnyttjar DNS-servrar som är konfigurerade att acceptera förfrågningar från vilken klient som helst på internet. Detta kan leda till en förstärkningsattack, där:

  • en liten DNS-förfrågan skickas till servern
  • servern svarar med en betydligt större mängd data
  • svaret skickas till den adress som angriparen vill överbelasta

Dessa attacker är särskilt skadliga eftersom de:

  • utnyttjar legitima funktioner i DNS-protokollet
  • kraftigt förstärker mängden trafik
  • gör det svårt att blockera attacken utan att även påverka legitima användare

Sårbarheter i öppna DNS-resolvers

Öppna resolvers kan utnyttjas för flera typer av attacker:

  • DNS cache poisoning
    • Angripare skickar falska resursposter (RR)
    • Resolvern lagrar felaktig information
    • Användare omdirigeras till skadliga webbplatser
  • DNS förstärknings- och reflektionsattacker
    • Används i DoS/DDoS-attacker
    • Angriparen skickar förfrågningar med spoofad källadress (falsk IP-adress)
    • Offret får stora mängder svarstrafik
  • DNS resursförbrukningsattacker
    • Förbrukar resurser på DNS-servern
    • Kan leda till att tjänsten blir otillgänglig
    • I vissa fall krävs omstart av servern

DNS förstärkning och reflektion

Denna attack är en kombination av två tekniker:

  • Reflektion – trafiken skickas via en mellanliggande server
  • Förstärkning – svaret är mycket större än förfrågan

I vissa fall kan en liten förfrågan generera ett svar som är betydligt större. När det händer kan en hotaktör kan bland annat överbelasta ett mål (DoS/DDoS), dölja sin egen identitet och utnyttja legitima DNS-servrar som en del av attacken.

Detta gör attacken både effektiv och svår att stoppa.

Skyddsåtgärder

För att minska risken för DNS amplification-attacker bör man:

  • undvika öppna DNS-resolvers
  • begränsa vilka klienter som får skicka DNS-förfrågningar
  • implementera filtrering av spoofade IP-adresser
  • övervaka ovanligt stora DNS-svar

Viktig insikt

DNS amplification-attacker visar hur en legitim tjänst kan missbrukas när:

  • säkerhetskontroller saknas
  • trafik inte verifieras
  • resurser exponeras öppet mot internet

Därför är korrekt konfiguration av DNS avgörande för nätverkets säkerhet.