Wat is DNS?

DNS staat voor "domain name system" (domeinnaamsysteem) en kan omschreven worden als de index voor het internet. Gebruikers kunnen er toegang mee krijgen tot informatie door een domeinnaam (zoals kaspersky.com) te vertalen naar het bijbehorende IP-adres dat een browser nodig heeft om internetbronnen te laden (bijvoorbeeld artikels zoals dit). Als systeem wordt de DNS gebruikt om websites over de hele wereld te volgen, catalogiseren en reguleren.

Voor een meer gedetailleerd beeld van het DNS moeten we kijken hoe het werkt. Het is echter belangrijk om eerst de gebruikte termen te verduidelijken:

Een internetprotocol (IP)-adres is het nummer dat aan elke unieke computer en server is toegewezen. Deze ID's worden door computers gebruikt om elkaar te vinden en met elkaar te communiceren.

Een domein (of domeinnaam) is een tekstnaam die mensen gebruiken om specifieke websites en hun servers te onthouden, te identificeren en er verbinding mee te maken. Een domein zoals "www.kaspersky.com" wordt bijvoorbeeld gebruikt als een eenvoudige manier om de werkelijke doelserver-ID te begrijpen, d.w.z. een IP-adres.

Domeinnaamsysteemservers (DNS-servers of DNS-nameservers) zijn een verzameling van vier servertypen die het "DNS lookup"-proces regelen. Ze omvatten de resolving name server, root name servers, top-level domain (TLD) nameservers en authoritative nameservers. Laten we de details van deze servers wat nader bekijken om ze beter te begrijpen:

1. Resolving name server (of recursive resolver) is de vertaalcomponent van het DNS-lookupproces. Het is ontworpen om query's te ontvangen van de client (via een webbrowser of app) en deze query's vervolgens door te geven aan een reeks webservers (hieronder vermeld) om het doel-IP-adres van een domeinnaam te vinden. Het kan reageren met eerder in de cache opgeslagen gegevens of de query naar een root nameserver verzenden. De resolving name-service is constant in communicatie met de onderstaande servers tijdens een lookup-proces.
2. Root name server (root server) is waar alle DNS-lookups beginnen. Als je de DNS voorstelt als een hiërarchie, zou de "rootzone" bovenaan staan. Een root server is een DNS-nameserver die in de root zone werkt. Het dient vaak als referentiepunt in het proces van een lookup.
3. Top-level domain (TLD)-nameserver bevindt zich een niveau onder de root zone. De volgende fase in de lookup bevat informatie voor alle domeinnamen die een gemeenschappelijke "domeinextensie" bevatten, d.w.z. .com, .net enz.
4. Authoritative nameserver is het laatste deel van de lookup en bevat informatie die specifiek is voor de gezochte domeinnaam. Het kan de resolving nameserver voorzien van het juiste IP-adres.

Nu we de DNS-definitie kennen en een algemeen begrip hebben van het DNS en de servers ervan, kunnen we onderzoeken hoe het juist werkt.

Hoe werkt DNS?

Wanneer je naar een website zoekt via een domeinnaam in je browser, start je een proces dat 'lookup' wordt genoemd. De volledige lookup heeft 6 fasen:

1. Je webbrowser en besturingssysteem (OS) proberen het IP-adres op te roepen dat aan de domeinnaam is gekoppeld. Als het IP-adres eerder al werd bezocht, kan het worden opgeroepen uit de interne opslag van de computer of de geheugencache.
2. Het proces gaat door als geen van beide componenten weet waar het doel-IP-adres zich bevindt.
3. Het besturingssysteem voert een query uit naar de resolving nameserver voor het IP-adres. Met deze query wordt de zoekopdracht gestart via de serverketen van het domeinnaamsysteem om het overeenkomende IP-adres voor het domein te vinden.
4. De query komt eerst terecht bij de root name server, die de query naar de TLD-server stuurt (via de resolver).
5. De TLD-server stuurt je query vervolgens door of verwijst naar de authoritative nameserver (opnieuw via de resolver).
6. Uiteindelijk zal de resolver, door middel van communicatie met de authoritative nameserver, het IP-adres vinden en afleveren aan het besturingssysteem. Hier wordt het doorgegeven aan de webbrowser en krijg je de website of pagina die je hebt aangevraagd.

Het DNS-lookup-proces is het essentiële raamwerk dat door het hele internet wordt gebruikt. Helaas kunnen criminelen kwetsbaarheden in DNS misbruiken, wat betekent dat je je bewust moet zijn van mogelijke oplichting via omleidingen, vaak ook 'spoofing' en 'vergiftiging' genoemd. Om je te helpen deze bedreigingen te voorkomen, leggen we uit wat DNS-spoofing en DNS-vergiftiging is en hoe het werk.

Definitie DNS-spoofing en DNS-vergiftiging

Vergiftiging en spoofing van Domain Name System (DNS) zijn cyberaanvallen die misbruik maken van de kwetsbaarheden van de DNS-server om verkeer weg te leiden van legitieme servers naar neppe servers. Als je eenmaal op een frauduleuze pagina bent terechtgekomen, vraag je je misschien af hoe je het kunt oplossen. Jij bent nochtans de enige die dat kan. Je moet precies weten hoe het werkt om jezelf te beschermen.

DNS-spoofing en ook DNS-cachevergiftiging behoren tot de meer misleidende cyberdreigingen. Als je niet begrijpt hoe het internet je verbindt met websites, kun je worden misleid door te denken dat de website zelf is gehackt. In sommige gevallen is het gewoon jouw apparaat. Erger nog, programma's voor cyberbeveiliging kunnen slechts enkele dreigingen verwant met DNS-spoofing tegenhouden.

Hoe DNS-cachevergiftiging en spoofing werkt

Wat betreft DNS zijn de meest voorkomende bedreigingen tweeledig:

1. DNS-spoofing is de resulterende bedreiging die legitieme serverbestemmingen nabootst om het verkeer van een domein om te leiden. Nietsvermoedende slachtoffers komen terecht op kwaadaardige websites. Dit is het doel van verschillende methoden van DNS-spoofing-aanvallen.
2. DNS-cachevergiftiging is een methode van DNS-spoofing aan de zijde van de gebruiker. Hierbij registreert je systeem het frauduleuze IP-adres in je lokale geheugencache. Op deze manier roept het DNS de slechte site speciaal voor je op, zelfs als het probleem wordt opgelost of nooit heeft bestaan aan de serverkant.

Methoden voor DNS-spoofing of cachevergiftiging

Dit zijn enkele van de meest voorkomende methoden voor DNS-spoofing:

Man-in-the-middle-aanval: Hierbij stapt een aanvaller tussen jouw webbrowser en de DNS-server. Er wordt een tool gebruikt voor gelijktijdige cachevergiftiging op je lokale apparaat en serververgiftiging op de DNS-server. Dit zorgt voor een omleiding naar een schadelijke site die wordt gehost op de lokale server van de aanvaller zelf.

DNS server hijacks: De crimineel herconfigureert de server om alle verzoekende gebruikers om te leiden naar de kwaadaardige website. Zodra een frauduleuze DNS entry op de DNS-server wordt geïnjecteerd, zal elk IP-verzoek voor het vervalste domein resulteren in de nepsite.

DNS-cachevergiftiging via spam:de code voor vergiftiging van DNS-caches wordt vaak aangetroffen in URL's die worden verzonden via spam-e-mails. Deze e-mails zijn bedoeld om gebruikers bang te maken, zodat ze op de meegestuurde URL klikken, waarna hun computer wordt geïnfecteerd. Ook banners en afbeeldingen, zowel in e-mails als op onbetrouwbare websites, kunnen gebruikers doorverwijzen naar dergelijke code. Je vergiftigde computer voert je naar nepwebsites die echte websites nabootsen. Hier worden de echte problemen op je apparaten gezet.

Risico's van DNS-vergiftiging en -spoofing

Hier zijn enkele veelvoorkomende risico's van DNS-vergiftiging en -spoofing:

• Gegevensdiefstal
• Infectie met malware
• Opschorting van beveiligingsupdates
• Censuur

DNS-spoofing zorgt voor verschillende risico's die allemaal je apparaten en persoonlijke gegevens in gevaar brengen.

Gegevensdiefstal kan bijzonder lucratief zijn voor DNS-spoofaanvallers. Websites van banken en populaire webwinkels zijn gemakkelijke doelwitten, waardoor wachtwoorden, creditcardgegevens of persoonlijke gegevens kunnen worden gestolen. De omleidingen gaan naar phishingwebsites die zijn ontworpen om je informatie te verzamelen.

Malware-infectie is nog een andere veelvoorkomende bedreiging met DNS-spoofing. Wanneer een spoof je omleidt, kan de bestemming uiteindelijk een site zijn die besmet is met kwaadaardige downloads. Driveby-downloads zijn een eenvoudige manier om de infectie van je systeem te automatiseren. Als je geen internetbeveiliging gebruikt, word je blootgesteld aan risico's zoals spyware, keyloggers of wormen.

Opschorting van beveiligingsupdates kunnen het gevolg zijn van een DNS-spoof. Als de vervalste sites ook providers van internetbeveiliging omvatten, worden er geen legitieme beveiligingsupdates uitgevoerd. Als gevolg hiervan kan je computer worden blootgesteld aan extra bedreigingen zoals virussen of trojans.

Censuur is een risico dat in sommige delen van de wereld eigenlijk de normaalste zaak is. China gebruikt bijvoorbeeld wijzigingen in het DNS om te controleren dat alleen goedgekeurde websites worden bezocht in het land. Deze blokkering op nationaal niveau, genaamd de "Great Firewall", is een voorbeeld van hoe krachtig DNS-spoofing kan zijn.

Vooral het verwijderen van DNS-cachevergifitiging kan moeilijk zijn. Aangezien het opschonen van een geïnfecteerde server het probleem niet verwijdert van een desktop of mobiel apparaat, zal het apparaat terugkeren naar de vervalste site. Bovendien worden schone desktops die verbinding maken met een geïnfecteerde server opnieuw aangetast.

DNS-cachevergiftiging en -spoofing vermijden

De gebruiker zelf heeft maar weinig beveiligingen om DNS-spoofing te voorkomen. Website-eigenaren en serverproviders hebben iets meer vermogen om zichzelf en hun gebruikers te beschermen. Beide partijen moeten proberen spoofs te vermijden om iedereen veilig te houden.

Ga als volgt te werk om deze aanvallen voor website-eigenaren en DNS-serviceproviders te voorkomen:

1. Hulpmiddelen voor de detectie van DNS-spoofing
2. Beveiligingsextensies voor domeinnaamsystemen
3. End-to-endversleuteling

Ga als volgt te werk om deze bedreigingen voor eindpuntgebruikers te voorkomen:

1. Klik nooit op een link die je niet herkent
2. Scan de computer regelmatig op malware
3. Maak je DNS-cache schoon om vergiftiging op te lossen
4. Gebruik een virtueel privénetwerk (VPN)

Preventietips voor website-eigenaren en DNS-serverproviders

Als website-eigenaar of DNS-serverprovider heb je een grote verantwoordelijkheid om gebruikers te verdedigen. Je kunt verschillende beveiligingstools en protocollen implementeren om bedreigingen buiten te houden. Gebruik onder andere de volgende hulpmiddelen:

1. Hulpmiddelen voor detectie van DNS-spoofing: deze detectietools werken hetzelfde als beveiligingsproducten voor eindpuntgebruikers en scannen proactief alle ontvangen gegevens voordat ze deze verzenden.
2. Beveiligingsextensies voor domeinnaamsystemen (Domain name system security extensions of DNSSEC): dit is in wezen een echtheidslabel voor DNS. Het DNSSEC-systeem helpt een DNS-lookup authentiek en spoof-vrij te houden.
3. End-to-end-encryptie: Versleutelde gegevens, verzonden voor DNS-verzoeken en antwoorden, houden criminelen buiten omdat ze het unieke beveiligingscertificaat voor de legitieme website niet kunnen dupliceren.

Preventietips voor gebruikers

Gebruikers zijn bijzonder kwetsbaar voor dit soort bedreigingen. Om te voorkomen dat je het slachtoffer wordt van een DNS-vergiftigingsaanval, moet je deze eenvoudige tips volgen:

1. Klik nooit op een link die je niet herkent. Dit omvat e-mail, sms-berichten of links in sociale media. Tools die URL's verkorten, kunnen linkbestemmingen verder maskeren, dus vermijd die zoveel mogelijk. Kies er voor extra veiligheid altijd voor om handmatig een URL in voeren in je adresbalk. Maar doe dit alleen nadat je hebt bevestigd dat het een officiële en legitieme URL is.
2. Scan je computer regelmatig op hardware. Hoewel je waarschijnlijk geen DNS-cachevergiftiging kunt detecteren, zal je beveiligingssoftware  toch alle resulterende infecties opsporen en verwijderen. Aangezien vervalste sites alle soorten kwaadaardige programma's kunnen leveren, moet je altijd scannen op virussen, spyware en andere verborgen problemen (het omgekeerde is ook mogelijk, omdat malware voor spoofs kan zorgen). Bij het scannen moet bovendien altijd een lokaal programma worden gebruikt en geen gehoste versie, omdat webresultaten bij vergiftiging kunnen worden vervalst.
3. Maak je DNS-cache leeg om vergiftiging op te lossen indien nodig. Cachevergiftiging blijft langere tijd in je systeem zitten, tenzij je de geïnfecteerde gegevens opruimt. Dit proces kan zo eenvoudig zijn als het openen van het Windows-programma "Uitvoeren" en “ipconfig /flushdns” te typen als opdracht. Mac, iOS en Android hebben opties om DNS leeg te maken. Deze zijn meestal te vinden in een optie "netwerkinstellingen resetten", schakelen tussen vliegtuigmodus, via het opnieuw opstarten van het apparaat of in een specifieke native webbrowser-URL. Zoek de methode van je specifieke apparaat voor richtlijnen.
4. Gebruik een virtueel privénetwerk (VPN). Deze services bieden je een versleutelde tunnel voor al je webverkeer en het gebruik van privé-DNS-servers die uitsluitend end-to-end versleutelde verzoeken gebruiken. Het resultaat geeft je servers die veel beter bestand zijn tegen DNS-spoofing en verzoeken die niet kunnen worden onderbroken.

Maak jezelf niet kwetsbaar voor DNS-spoofing en malware-aanvallen. Bescherm jezelf vandaag met Kaspersky Home Security-producten.

Gerelateerde artikelen en links:

• Wat is spoofing?
• Wat is Pharming en hoe bescherm je jezelf?
• Wat is een IP-adres en wat betekent het?
• Soorten malware en voorbeelden van malware

Gerelateerde producten:

• Kaspersky Security for Small Businesses
• Kaspersky Security for Medium Businesses
• Kaspersky Enterprise Security