Domænenavnssvindel:er det globale internet i fare?

I slutningen af ​​februar 2019, Internet Corporation for Assigned Names and Numbers (ICANN), organisationen, der administrerer de IP -adresser og domænenavne, der bruges på internettet, udsendt en advarsel om risiciene ved systemiske internetangreb. Her er hvad du behøver at vide om, hvad der er på spil.

Hvad er DNS?

Domain Name Service (DNS) forbinder et domænenavn (f.eks. domænet ameli.fr for fransk sundhedsforsikring) til en IP -adresse (Internet Protocol), i dette tilfælde "31.15.27.86"). Dette er nu en vigtig service, da det gør det let at huske identifikatorerne for digitale tjenester uden at have deres adresser. Endnu, ligesom mange tidligere typer protokoller, det var designet til at være robust, men ikke sikkert.

DNS definerer de områder, inden for hvilke en myndighed frit kan oprette domænenavne og kommunikere dem eksternt. Fordelen ved denne mekanisme er, at forbindelsen mellem IP -adressen og domænenavnet administreres tæt. Ulempen er, at der nogle gange kræves flere henvendelser for at løse et navn, med andre ord, knytte det til en adresse.

Mange organisationer, der tilbyder internettjenester, har et eller flere domænenavne, som er registreret hos leverandørerne af denne registreringstjeneste. Disse tjenesteudbydere er selv registreret, direkte eller indirekte med ICANN, en amerikansk organisation med ansvar for at organisere Internettet. I Frankrig, referenceorganisationen er AFNIC, som administrerer domænet ".fr".

Vi refererer ofte til et fuldt kvalificeret domænenavn, eller FQDN. I virkeligheden, Internettet er opdelt i topdomæner (TLD). De oprindelige amerikanske domæner gjorde det muligt at opdele domæner efter organisationstype (kommercielle, universitet, regering, etc.). Så dukkede nationale domæner som ".fr" hurtigt op. For nylig, ICANN godkendte registrering af en lang række topdomæner. Oplysningerne vedrørende disse topdomæner gemmes i en gruppe på 13 servere fordelt rundt om i verden for at sikre pålidelighed og hastighed i svarene.

DNS -protokollen etablerer kommunikation mellem brugerens maskine og en domænenavnserver (DNS). Denne kommunikation tillader, at denne navneserver forespørges om at løse et domænenavn, med andre ord, få den IP -adresse, der er knyttet til et domænenavn. Kommunikationen giver også mulighed for at få andre oplysninger, såsom at finde et domænenavn, der er knyttet til en adresse, eller finde meddelelsesserveren, der er knyttet til et domænenavn for at sende en elektronisk besked. For eksempel, når vi indlæser en side i vores browser, browseren udfører en DNS -opløsning for at finde den korrekte adresse.

På grund af databasens distribuerede karakter, ofte kender den første kontaktede server ikke sammenhængen mellem domænenavnet og adressen. Det vil derefter kontakte andre servere for at få et svar, gennem en iterativ eller rekursiv proces, indtil den har forespurgt en af ​​de 13 rodservere. Disse servere danner rodniveauet i DNS -systemet.

For at forhindre en spredning af forespørgsler, hver DNS -server gemmer lokalt de modtagne svar, der forbinder et domænenavn og en adresse i et par sekunder. Denne cache gør det muligt at reagere hurtigere, hvis den samme anmodning fremsættes inden for et kort interval.

Sårbar protokol

DNS er en generel protokol, især inden for virksomhedsnetværk. Det kan derfor give en angriber mulighed for at omgå deres beskyttelsesmekanismer for at kommunikere med kompromitterede maskiner. Dette kunne, for eksempel, give angriberen mulighed for at styre netværk af robotter (botnet). Forsvarets svar er baseret på den mere specifikke filtrering af kommunikation, for eksempel kræver systematisk brug af et DNS -relæ, der kontrolleres af offerorganisationen. Analysen af ​​domænenavne indeholdt i DNS -forespørgslerne, som er forbundet med sorte eller hvide lister, bruges til at identificere og blokere unormale forespørgsler.

DNS -protokollen muliggør også denial of service -angreb. Faktisk, alle kan sende en DNS -forespørgsel til en tjeneste ved at overtage en IP -adresse. DNS -serveren reagerer naturligt på den falske adresse. Adressen er faktisk offer for angrebet, fordi den har modtaget uønsket trafik. DNS -protokollen gør det også muligt at udføre forstærkningsangreb, hvilket betyder, at trafikmængden, der sendes fra DNS -serveren til offeret, er meget større end den trafik, der sendes fra angriberen til DNS -serveren. Det bliver derfor lettere at mætte offerets netværkslink.

Selve DNS -tjenesten kan også blive offer for et denial of service -angreb, som det var tilfældet for DynDNS i 2016. Dette udløste kaskadefejl, da visse tjenester er afhængige af tilgængeligheden af ​​DNS for at fungere.

Beskyttelse mod denial of service -angreb kan have flere former. Den mest almindeligt anvendte i dag er filtrering af netværkstrafik for at fjerne overskydende trafik. Anycast er også en voksende løsning til at kopiere de angrebne tjenester, hvis det er nødvendigt.

Cache forgiftning

En tredje sårbarhed, der tidligere har været meget udbredt, er at angribe forbindelsen mellem domænenavnet og IP -adressen. Dette gør det muligt for en angriber at stjæle en serveradresse og tiltrække selve trafikken. Det kan derfor "klone" en legitim service og få vildledte brugeres følsomme oplysninger:Brugernavne, adgangskoder, kreditkortoplysninger osv. Denne proces er relativt vanskelig at opdage.

Som sagt, DNS -serverne har kapacitet til at gemme svarene på de forespørgsler, de har udsendt i et par minutter og bruge disse oplysninger til at besvare de efterfølgende forespørgsler direkte. Det såkaldte cache-forgiftningsangreb gør det muligt for en angriber at forfalske foreningen i cachen på en legitim server. For eksempel, en angriber kan oversvømme den mellemliggende DNS -server med forespørgsler, og serveren accepterer det første svar, der svarer til dets anmodning.

Konsekvenserne varer kun lidt, forespørgslerne til den kompromitterede server omdirigeres til en adresse, der kontrolleres af angriberen. Da den oprindelige protokol ikke indeholder nogen midler til verifikation af domæneadresse-tilknytningen, kunderne kan ikke beskytte sig selv mod angrebet.

Dette resulterer ofte i internetfragmenter, med kunder, der kommunikerer med den kompromitterede DNS -server, omdirigeres til et ondsindet websted, mens kunder, der kommunikerer med andre DNS -servere, sendes til det originale websted. For det originale websted, dette angreb er praktisk talt umuligt at opdage, bortset fra et fald i trafikstrømmene. Dette fald i trafikken kan have betydelige økonomiske konsekvenser for det kompromitterede system.

Sikkerhedscertifikater

Formålet med den sikre DNS (Domain Name System Security Extensions, DNSSEC) er at forhindre denne type angreb ved at tillade brugeren eller mellemliggende server at verificere forbindelsen mellem domænenavnet og adressen. Det er baseret på brug af certifikater, såsom dem, der bruges til at kontrollere gyldigheden af ​​et websted (den lille hængelås, der vises i en browsers weblinje). I teorien, en verifikation af certifikatet er alt, hvad der er nødvendigt for at opdage et angreb.

Imidlertid, denne beskyttelse er ikke perfekt. Bekræftelsesprocessen for "domæne-IP-adresse" -foreningerne er fortsat ufuldstændig. Det skyldes dels, at en række registre ikke har implementeret den nødvendige infrastruktur. Selvom selve standarden blev udgivet for næsten femten år siden, vi venter stadig på implementeringen af ​​den nødvendige teknologi og strukturer. Fremkomsten af ​​tjenester som Let's Encrypt har bidraget til at sprede brugen af ​​certifikater, som er nødvendige for sikker navigation og DNS -beskyttelse. Imidlertid, brug af disse teknologier af registre og tjenesteudbydere forbliver ujævn; nogle lande er mere avancerede end andre.

Selvom der findes resterende sårbarheder (f.eks. Direkte angreb på registre for at opnå domæner og gyldige certifikater), DNSSEC tilbyder en løsning til den type angreb, der for nylig blev opsagt af ICANN. Disse angreb er afhængige af DNS -svindel. For at være mere præcis, de er afhængige af forfalskning af DNS -poster i registerdatabaserne, hvilket betyder, at enten disse registre er kompromitteret, eller de er gennemtrængelige for injektion af falsk information. Denne ændring af et registers database kan ledsages af indsprøjtning af et certifikat, hvis angriberen har planlagt dette. Dette gør det muligt at omgå DNSSEC, i værste fald.

Denne ændring af DNS-data indebærer en udsving i domæne-IP-adressetilknytningsdata. Denne udsving kan observeres og muligvis udløse advarsler. Det er derfor svært for en angriber at forblive helt ubemærket. Men da disse udsving kan forekomme regelmæssigt, for eksempel når en kunde skifter udbyder, vejlederen skal være yderst årvågen for at kunne stille den rigtige diagnose.

Institutioner målrettet

I tilfælde af angrebene fordømt af ICANN, der var to væsentlige kendetegn. Først og fremmest, de var aktive i en periode på flere måneder, hvilket indebærer, at den strategiske angriber var bestemt og veludstyret. For det andet, de målrettede effektivt institutionelle websteder, hvilket indikerer, at angriberen havde en stærk motivation. Det er derfor vigtigt at se nærmere på disse angreb og forstå de mekanismer, angriberne implementerede for at rette op på sårbarhederne, sandsynligvis ved at styrke god praksis.

ICANNs promovering af DNSSEC -protokollen rejser spørgsmål. Det må klart blive mere udbredt. Imidlertid, der er ingen garanti for, at disse angreb ville være blevet blokeret af DNSSEC, heller ikke at de ville have været sværere at gennemføre. Yderligere analyse er påkrævet for at opdatere status for sikkerhedstruslen for protokollen og DNS -databasen.

Denne artikel er genudgivet fra The Conversation under en Creative Commons -licens. Læs den originale artikel.