I slutet av februari 2019, Internet Corporation for Assigned Names and Numbers (ICANN), organisationen som hanterar IP -adresser och domännamn som används på webben, utfärdat en varning om riskerna med systemiska internetattacker. Här är vad du behöver veta om vad som står på spel.

Vad är DNS?

Domain Name Service (DNS) länkar ett domännamn (t.ex. domänen ameli.fr för fransk sjukförsäkring) till en IP -adress (Internet Protocol), i detta fall "31.15.27.86"). Detta är nu en viktig tjänst, eftersom det gör det enkelt att memorera identifierarna av digitala tjänster utan att ha sina adresser. Än, som många tidigare typer av protokoll, den var konstruerad för att vara robust, men inte säker.

DNS definierar de områden inom vilka en myndighet kommer att vara fri att skapa domännamn och kommunicera dem externt. Fördelen med denna mekanism är att kopplingen mellan IP -adressen och domännamnet hanteras noga. Nackdelen är att flera förfrågningar ibland krävs för att lösa ett namn, med andra ord, associera det med en adress.

Många organisationer som erbjuder internettjänster har ett eller flera domännamn, som är registrerade hos leverantörerna av denna registreringstjänst. Dessa tjänsteleverantörer är själva registrerade, direkt eller indirekt med ICANN, en amerikansk organisation som ansvarar för att organisera Internet. I Frankrike, referensorganisationen är AFNIC, som hanterar ".fr" -domänen.

Vi hänvisar ofta till ett fullt kvalificerat domännamn, eller FQDN. I verkligheten, Internet är uppdelat i toppdomäner (TLD). De ursprungliga amerikanska domänerna gjorde det möjligt att dela upp domäner efter typ av organisation (kommersiella, universitet, regering, etc.). Då dök nationella domäner som ".fr" snabbt upp. På senare tid, ICANN godkände registrering av en mängd olika toppdomäner. Informationen relaterad till dessa toppnivådomäner sparas i en grupp av 13 servrar som distribueras över hela världen för att säkerställa tillförlitlighet och snabbhet i svaren.

DNS -protokollet upprättar kommunikation mellan användarens maskin och en domännamnserver (DNS). Denna kommunikation tillåter att denna namnserver efterfrågas för att lösa ett domännamn, med andra ord, få den IP -adress som är associerad med ett domännamn. Kommunikationen gör det också möjligt att få annan information, såsom att hitta ett domännamn som är associerat med en adress eller hitta meddelandeservern som är associerad med ett domännamn för att skicka ett elektroniskt meddelande. Till exempel, när vi läser in en sida i vår webbläsare, webbläsaren utför en DNS -upplösning för att hitta rätt adress.

På grund av databasens distribuerade karaktär, ofta känner den första servern som kontaktas inte kopplingen mellan domännamnet och adressen. Den kommer då att kontakta andra servrar för att få ett svar, genom en iterativ eller rekursiv process, tills den har frågat en av de 13 rotservrarna. Dessa servrar bildar rotnivån i DNS -systemet.

För att förhindra en spridning av frågor, varje DNS -server lagrar lokalt de mottagna svaren som associerar ett domännamn och en adress i några sekunder. Denna cache gör det möjligt att svara snabbare om samma begäran görs inom ett kort intervall.

Sårbart protokoll

DNS är ett generellt protokoll, särskilt inom företagsnätverk. Det kan därför tillåta en angripare att kringgå sina skyddsmekanismer för att kommunicera med komprometterade maskiner. Det här skulle kunna, till exempel, låta angriparen styra robotarnas nätverk (botnät). Försvarets svar är beroende av den mer specifika filtreringen av kommunikation, till exempel kräver systematisk användning av ett DNS -relä som styrs av offerorganisationen. Analysen av domännamnen i DNS -frågorna, som är associerade med svarta eller vita listor, används för att identifiera och blockera onormala frågor.

DNS -protokollet möjliggör också attacker mot nekande av tjänster. Faktiskt, vem som helst kan skicka en DNS -fråga till en tjänst genom att ta över en IP -adress. DNS -servern svarar naturligt på den falska adressen. Adressen är faktiskt offer för attacken, eftersom den har fått oönskad trafik. DNS -protokollet gör det också möjligt att utföra förstärkningsattacker, vilket innebär att trafikmängden som skickas från DNS -servern till offret är mycket större än trafiken som skickas från angriparen till DNS -servern. Det blir därför lättare att mätta offrets nätverkslänk.

Själva DNS -tjänsten kan också bli offer för en denial of service -attack, som var fallet för DynDNS 2016. Detta utlöste kaskadfel, eftersom vissa tjänster är beroende av tillgängligheten av DNS för att fungera.

Skydd mot denial of service -attacker kan ha flera former. Det vanligaste som används idag är filtrering av nätverkstrafik för att eliminera överflödig trafik. Anycast är också en växande lösning för att replikera de attackerade tjänsterna om det behövs.

Cacheförgiftning

En tredje sårbarhet som ofta användes tidigare är att attackera länken mellan domännamnet och IP -adressen. Detta gör det möjligt för en angripare att stjäla en serveradress och att attrahera själva trafiken. Den kan därför "klona" en legitim tjänst och få vilseledande användares känsliga information:Användarnamn, lösenord, kreditkortsinformation etc. Denna process är relativt svår att upptäcka.

Såsom nämnts, DNS -servrarna har kapacitet att lagra svaren på de frågor som de har utfärdat i några minuter och att använda denna information för att svara på de efterföljande frågorna direkt. Den så kallade cacheförgiftningsattacken tillåter en angripare att förfalska föreningen inom cacheminnet på en legitim server. Till exempel, en angripare kan översvämma den mellanliggande DNS -servern med frågor och servern kommer att acceptera det första svaret som motsvarar dess begäran.

Konsekvenserna varar bara en liten stund, frågorna till den komprometterade servern vidarebefordras till en adress som kontrolleras av angriparen. Eftersom det ursprungliga protokollet inte innehåller några sätt att verifiera domänadressadressen, kunderna kan inte skydda sig mot attacken.

Detta resulterar ofta i internetfragment, med kunder som kommunicerar med den komprometterade DNS -servern omdirigeras till en skadlig webbplats, medan kunder som kommunicerar med andra DNS -servrar skickas till den ursprungliga webbplatsen. För den ursprungliga webbplatsen, denna attack är praktiskt taget omöjlig att upptäcka, förutom en minskning av trafikflödena. Denna minskning av trafiken kan få betydande ekonomiska konsekvenser för det komprometterade systemet.

Säkerhetscertifikat

Syftet med den säkra DNS (Domain Name System Security Extensions, DNSSEC) är att förhindra denna typ av attack genom att låta användaren eller mellanliggande server verifiera kopplingen mellan domännamnet och adressen. Det är baserat på användning av certifikat, som de som används för att verifiera en webbplatss giltighet (det lilla hänglåset som visas i webbläsarens webbar). I teorin, en verifiering av certifikatet är allt som behövs för att upptäcka en attack.

Dock, detta skydd är inte perfekt. Verifieringsprocessen för "domän-IP-adress" -associationerna förblir ofullständig. Detta beror delvis på att ett antal register inte har implementerat den nödvändiga infrastrukturen. Även om själva standarden publicerades för nästan femton år sedan, vi väntar fortfarande på att den nödvändiga tekniken och strukturerna ska användas. Framväxten av tjänster som Let's Encrypt har hjälpt till att sprida användningen av certifikat, som är nödvändiga för säker navigering och DNS -skydd. Dock, användningen av denna teknik av register och tjänsteleverantörer förblir ojämn; vissa länder är mer avancerade än andra.

Även om det finns kvarvarande sårbarheter (t.ex. direkta attacker mot register för att få domäner och giltiga certifikat), DNSSEC erbjuder en lösning för den typ av attacker som nyligen fördömdes av ICANN. Dessa attacker är beroende av DNS -bedrägeri. För att vara mer exakt, de förlitar sig på förfalskning av DNS -poster i registerdatabaserna, vilket innebär att antingen dessa register äventyras, eller de är genomsläppliga för injektion av falsk information. Denna ändring av ett registers databas kan åtföljas av inmatning av ett certifikat, om angriparen har planerat detta. Detta gör det möjligt att kringgå DNSSEC, i värsta fall.

Denna ändring av DNS-data innebär en variation i domän-IP-adressassocieringsdata. Denna fluktuation kan observeras och möjligen utlösa varningar. Det är därför svårt för en angripare att förbli helt obemärkt. Men eftersom dessa fluktuationer kan inträffa regelbundet, till exempel när en kund byter leverantör, handledaren måste vara ytterst vaksam för att ställa rätt diagnos.

Institutioner riktade

I händelse av attackerna som fördömdes av ICANN, det fanns två viktiga egenskaper. För det första, de var aktiva under flera månader, vilket innebär att den strategiska angriparen var bestämd och välutrustad. För det andra, de riktade sig effektivt till institutionella webbplatser, vilket indikerar att angriparen hade en stark motivation. Det är därför viktigt att titta närmare på dessa attacker och förstå de mekanismer som angriparna implementerade för att rätta till sårbarheterna, förmodligen genom att förstärka god praxis.

ICANNs marknadsföring av DNSSEC -protokollet väcker frågor. Det måste helt klart bli mer utbrett. Dock, det finns ingen garanti för att dessa attacker skulle ha blockerats av DNSSEC, inte ens att de skulle ha varit svårare att genomföra. Ytterligare analyser kommer att krävas för att uppdatera statusen för säkerhetshotet för protokollet och DNS -databasen.

Denna artikel publiceras från The Conversation under en Creative Commons -licens. Läs originalartikeln.