Naar inhoud springen

DNS-vergiftiging

Uit Wikipedia, de vrije encyclopedie
Dit is een oude versie van deze pagina, bewerkt door Carol Fenijn (overleg | bijdragen) op 7 jul 2017 om 03:36. (+Engels)
Deze versie kan sterk verschillen van de huidige versie van deze pagina.

DNS-vergiftiging (Engels: DNS cache poisoning) is een aanval waarbij de domeinnamentabel (Domain Name System) van een internetserver wordt aangetast. Deze tabel bevat een lijst met legitieme internetadressen. Bij een DNS-vergiftiging worden deze adressen vervangen door nepadressen. Wanneer er dan een URL wordt opgevraagd (bijvoorbeeld Google.com) in een aangetaste DNS tabel, wordt dit verzoek niet doorgestuurd naar de legitieme URL, maar naar een vervalste pagina.

Werking DNS-tabel

Zie Domain Name System voor het hoofdartikel over dit onderwerp.

DNS is een systeem dat gebruikt wordt om namen van computers die in verbinding staan met het internet, te vertalen naar numerieke adressen (IP-adressen) en omgekeerd. Hoewel dit "vertalen" genoemd wordt gaat het gewoon om opzoeken in tabellen, waarin namen aan nummers gekoppeld zijn.

DNS is een client-serversysteem: een opvrager (client) gebruikt het DNS-protocol om aan een aanbieder (DNS-server) een naam of adres op te vragen, waarop de server een antwoord terugstuurt.

De naamgeving is hiërarchisch opgezet: namen bevatten punten en organisatorische eenheden komen overeen met onderdelen van de naam. Zo'n eenheid wordt een domein genoemd. En zo wordt een naam een domeinnaam. Zo is bijvoorbeeld de Nederlandstalige Wikipedia te vinden op de domeinnaam nl.wikipedia.org, die (op het moment van schrijven) correspondeert met het IP-adres 91.198.174.192. Deze naam is onderdeel van het domein wikipedia.org, waarvan de domeinnamen door de organisatie van Wikipedia worden beheerd.

Vereenvoudigde weergave van recursie bij het resolven van nl.wikipedia.org

Hoe een tabel wordt aangetast

DNS cache poisoning
FB.com

De hackers vallen de cache (opslagplaats voor data) van een DNS-tabel aan waarbij namen van websites niet meer naar het juiste bijbehorende ip-adres verwijzen, maar naar een gefalsificeerd website met aangepaste content. Vaak ziet de website er legitiem uit, waardoor de gebruiker niets ongewoon merkt. Wanneer de gebruiker daarna probeert in te loggen worden de inloggegevens (inlognaam, wachtwoord of creditcardnummer) verstuurd naar de hacker. Dit is een techniek die phishing wordt genoemd.

Via deze vervalste websites kan de hijacker nog allerhande virussen en spyware naar de gebruikerscomputer versturen. Op deze manier zijn er in 2005 ongeveer 1300 internetadressen ontvreemd. In plaats van op de site van CNN kwamen internetters op websites terecht die spyware naar de computer sturen en dubieuze zoekmachines te openen. Wanneer je daar een zoekopdracht invoert, rinkelt de kassa van de hijacker.

Een DNS-aanval voorkomen

Aanvallen gebeuren het vaakst wanneer een DNS in verbinding staat met een andere DNS. Dit kan preventief opgelost worden door zo weinig mogelijk in verbinding te staan met andere DNS en altijd de nieuwste software updates van DNS te gebruiken. Deze maken gebruik van een methode genaamd 'port randomization' waarbij de toegang tot de poorten steeds verandert. Verder worden transacties ook cryptografisch beveiligd.

DNSSEC (Domain Name System Security Extension) is gemaakt door het Internet Engineering Task Force (IETF) en is een extensie voor DNS. De uitbreiding biedt een beveiligde authenticiteit aan voor DNS data. Op deze manier worden toegebrachte wijzigingen in DNS data gecontroleerd op de betrouwbaarheid van de bron. Dit gebeurt op basis van zogenaamde digitale handtekeningen, die met een private sleutel worden gegenereerd en met behulp van een publieke sleutel kunnen worden gevalideerd. Van DNS-antwoorden is zodoende de integriteit en authenticiteit gegarandeerd (ook als dit een ontkennend, of leeg antwoord is).

Zie ook