DNS-forfalskning er et angrep som leder brukere til et falskt nettsted i stedet for nettstedet de prøver å få tilgang til. Det utnytter en sårbarhet i UDP-protokollen og krever sikkerhetstiltak som DNSSEC (Domain Name System Security Extension) for å forhindre det.
DNS-forfalskning (domenenavnssystem) er praksisen med å dirigere internettbrukere til et forfalsket nettsted når de prøver å få tilgang til et nettsted. Dette oppnås ved å oversette domenenavn til IP-adresser.
For at datamaskiner som er koblet til internett skal kunne identifisere og kommunisere med hverandre, må hver datamaskin ha en unik IP-adresse, som opprettes i henhold til Internettprotokollen (IP). Protokoller er kommunikasjonskonvensjoner som datamaskiner bruker for å koble til og sende data til hverandre, og som implementeres i programvare eller maskinvare. De mest brukte IP-adressene i dag er representert av tall i fire punktumseparerte felt, for eksempel «***.126.63.1». Denne adressen skal ikke dupliseres eller randomiseres, og skal tildeles en offentlig IP-adresse.
Det finnes to typer offentlige IP-adresser: statiske IP-adresser, som konsekvent bruker samme nummer, og dynamiske IP-adresser, som kan nummereres på nytt. Dynamiske IP-adresser tildeles av en protokoll kalt DHCP. DHCP godtar forespørsler fra datamaskiner som trenger en IP-adresse og tildeler den til dem, og når datamaskinen slutter å bruke IP-adressen, returneres adressen slik at en annen datamaskin kan bruke den. På den annen side finnes det også private IP-adresser, som ikke er direkte tilgjengelige for Internett og bare identifiserer hverandre på interne nettverk.
Internett fungerer basert på offentlige IP-adresser, men når vi bruker internett, bruker vi domenenavn i stedet for IP-adresser, som er bygd opp av tegn som «www..» for enkelhets skyld. Vi trenger DNS for å oversette domenenavn til IP-adresser, og enhetene som kjører DNS kalles navneservere. Datamaskinen din må ha navneserverens IP-adresse registrert, og mens en datamaskin med en dynamisk IP-adresse vil få navneserverens IP-adresse registrert automatisk når den mottar en IP-adresse, må en datamaskin med en statisk IP-adresse få navneserverens IP-adresse registrert manuelt av brukeren. Internettleverandører driver navneservere som deles av abonnentene deres.
DNS er en viktig del av internettkommunikasjon, og rask og nøyaktig oversettelse av domenenavn har en betydelig innvirkning på brukeropplevelsen på internett. DNS-ytelse og -sikkerhet er spesielt viktig for nettsteder og bedrifter som håndterer store mengder trafikk. Hvis en DNS-server går ned eller blir hacket, kan det forårsake et massivt tjenestebrudd. For eksempel herjet Dyn DNS-angrepet i 2016 og tok ned mange store nettsteder.
La oss ta en titt på hvordan en bruker vanligvis kobler seg til et nettsted. Datamaskinen som prøver å få tilgang til nettstedet kalles klienten. Når en bruker skriver domenenavnet til nettstedet de vil besøke i adressefeltet (eller søker etter det på en portalside og klikker på det), sender klienten en spørrepakke til navneserverne som er registrert, og ber om IP-adressen som tilsvarer domenenavnet. Hvis IP-adressen er i listen, sender navneserveren en svarpakke som forteller klienten IP-adressen. Svarpakken indikerer hvilken spørrepakke den svarer på. Hvis IP-adressen ikke er oppført, sender navneserveren en svarpakke som forteller klienten IP-adressen til en annen navneserver, og klienten går tilbake til å sende en spørrepakke til den navneserveren og gjentar prosessen. Klienten bruker IP-adressen til å finne nettstedet. Navneservere og klienter sender pakker frem og tilbake ved hjelp av en protokoll kalt UDP. For å sikre at pakker sendes raskt, sender UDP bare pakker til den andre parten og sjekker ikke for ankomst; Den stoler på den første svarpakken som ankommer for en bestemt spørrepakke og forkaster den neste pakken uten å sjekke. DNS-forfalskning utnytter disse hullene i UDP.
La oss ta en titt på hvordan DNS-forfalskning fungerer. En datamaskin infisert med ondsinnet kode som utfører DNS-forfalskning kalles en angriper. Når en klient sender en spørrepakke til en navneserver og ber om en spesifikk IP-adresse, videresendes pakken til angriperen, som sender en svarpakke til klienten med IP-adressen til et falskt nettsted. Svarpakken fra angriperen ankommer klienten før svarpakken fra navneserveren, og klienten gjenkjenner svarpakken fra angriperen som riktig pakke og blir dirigert til det falske nettstedet.
Derfor er det viktig å ta sikkerhetstiltak som Domain Name System Security Extension (DNSSEC) for å forhindre DNS-forfalskningsangrep. DNSSEC verifiserer integriteten og opprinnelsen til DNS-data, slik at klienter kan bekrefte at dataene de mottar er pålitelige. Nettverksadministratorer bør også regelmessig overvåke DNS-servere og oppdage unormal aktivitet slik at de kan reagere umiddelbart. Det er også viktig at sluttbrukere følger grunnleggende sikkerhetspraksis, for eksempel å bruke pålitelig sikkerhetsprogramvare og ikke besøke mistenkelige nettsteder.
