Forskerne registrerte en betydelig grad av avlytting, men lite manipulering, av DNS-trafikken. DNSSEC-teknologien, som langt fra alle DNS-servere støtter, kan forhindre manipulering.
Forskerne registrerte en betydelig grad av avlytting, men lite manipulering, av DNS-trafikken. DNSSEC-teknologien, som langt fra alle DNS-servere støtter, kan forhindre manipulering. (Bilde: Norid)

DNS-avskjæring

En betydelig del av DNS-spørringene globalt blir avlyttet. Utdaterte servere bidrar at sikkerhets­tiltak ikke fungerer

Global undersøkelse viser at ganske mye avskjæres, men lite manipuleres.

DNS (Domain Name System) er blant systemene som gjør at pc-en eller mobilen din finner fram til riktig sted når du taster inn for eksempel digi.no, vg.no eller facebook.com i nettleseren. DNS knytter domenenavn til én eller flere IP-adresser. 

DNS er et gammelt system som ble utviklet på en tid da internett fortsatt bare var tilgjengelig for noen relativt få og faren for misbruk var begrenset. I utgangspunktet sendes derfor all DNS-kommunikasjon ukryptert over nettet, noe som åpner for både avlytting og manipulering av dataene. 

Bedret sikkerhet

Økt fare for slik avskjæring er blant årsakene til at det har blitt utviklet teknikker for å gjøre DNS-kommunikasjonen sikrere, inkludert DNSSEC  (DNS Security Extensions) og DNS over TLS. Men støtten for og bruken av disse teknikkene er fortsatt begrenset.

DNSSEC kan gjøre det enkelt for programvare å oppdage manipulering av DNS-dataene, mens DNS over TLS i tillegg forhindrer at spørringene kan avlyttes.

En gruppe forskere ved amerikanske og kinesiske universiteter har sett nærmere på hvor stor risikoen er for at DNS-oppslagene blir avskåret og eventuelt manipulert. Forskerne presenterte resultatene i et foredrag under Usenix Security Symposium i forrige uke, noe blant annet The Register har omtalt.

Selve forskningsrapporten er tilgjengelig her.

Leste du denne? Det er langt fra bare Google-enheter som kan angripes med DNS-triksing

Globalt

Dette har de gjort ved blant annet å sette opp et globalt system som registrerer eventuell DNS-avskjæring av trafikk til og fra DNS-klienter knyttet til 36.173 unike IP-adresser i 173 land. Forskerne har i tillegg etablert et lignende system med 112.305 unike IP-adresser i Kina. 

I den globale analysen var IP-adressene knyttet til 2691 autonome systemer (AS), det vil si atskilte nett drevet av operatører og nettilbydere.

Forskerne observerte avskåret DNS-trafikk ved 198 av AS-ene, altså en andel på 7,38 prosent.

Ved 158 av disse dreide det seg om spørringer sendt til Googles offentlig tilgjengelige DNS-tjeneste (IP-adressen 8.8.8.8). Hos mer enn halvparten av disse AS-ene avskjæres mer enn 90 prosent av spørringene til DNS-tjenesten til Google.

Den totale andelen av spørringene som ble avskåret, var likevel på godt under 1 prosent. Sannsynligheten for avskjæring viste seg å være høyere ved bruk av svært kjente DNS-tjenester som Googles (0,66 prosent av pakkene) enn ved mindre kjente DNS-tjenester som EDU DNS (0,45 prosent av pakkene). 

Bare én eneste av alle DNS-spørringene resulterte i en ikke-korrekt respons, noe forskerne tolker som at DNS-trafikken i liten grad blir manipulert, selv om lang mer blir avlyttet. 

Les også: Google prøver ut kryptert DNS

I Kina

Avskjæringsandelen er ikke overraskende betydelig høyere i Kina, men det er ikke slik at samtlige spørringer, selv til Googles offentlige DNS-tjeneste, blir avskåret. Avskjæring ble observert ved 61 av 356 AS-er (17,13 prosent). 

DNS-spørringer kan sendes via både UDP og TCP. Det aller meste skjer via UDP, hvor det ifølge forskerne er teknisk enklere å avskjære trafikken. 

27,9 prosent av DNS-spørringene over UDF til Googles tjeneste fra kinesiske IP-adresser, ble avskåret. Tilsvarende andel for TCP var på «bare» 7,9 prosent.

Heller ikke i Kina ser det ut til at DNS-spørringene i noen særlig grad blir forfalsket. Men i stedet er det en betydelig andel som ikke resulterer i noen respons. Spesielt gjelder dette spørringer som rettes til Googles servere via UDP. Bare 72,1 prosent av disse resulterer i en korrekt respons. Tilsvarende andel globalt er 99,34 prosent.

Les også: Mange virksomheter er bare beskyttet mot 1990-tallets form for IT-angrep (Digi ekstra)

Utdaterte servere

I rapporten har forskerne også sett nærmere på et nokså tilfeldig utvalg bestående av 205 offentlig tilgjengelige DNS-servere som har vært i kontakt med forskernes autorative navneservere. 

Forskerne understreker at utvalget ikke nødvendigvis er representativt, men påpeker likevel at bare 43 prosent av serverne hadde støtte for de nevnte DNSSEC-spørringene. 

Av de 205 serverne, var 97 basert på BIND-programvaren. Samtlige benyttet svært gamle versjoner av programvare, eldre enn 9.4.0. Disse burde ha blitt skiftet ut før 2009. De gamle versjonene har en rekke sårbarheter og støtter ikke sikkerhetsrelatert funksjonalitet som DNSSEC.

Les også: Angrep viser at mer DNS-redundans er nødvendig

Kommentarer (2)

Kommentarer (2)
Til toppen