Forskere: En betydelig del af DNS-forespørgslerne bliver aflyttet

Illustration: Angelo Cordeschi/Shutterstock
Global undersøgelse viser, at ganske meget webtrafik omdirigeres, men kun lidt manipuleres med.

En gruppe forskere ved Tsinghua Universitet i Kina og Texas Universitet i Dallas, USA, har set nærmere på, hvor stor risikoen er for, at DNS (Domain Name Systems)-opslag bliver omdirigerest og eventuelt manipuleret med.

Forskerne præsenterede resultaterne ved et foredrag under Usenix Security Symposium i forrige uge.

Selve forskningsrapporten kan findes her.

Globalt

Forskerne har etableret et globalt system, som registrerer eventuelle DNS-omdirigering af trafik til og fra DNS-klienter knyttet til 36.173 unikke IP-adresser i 173 lande. Forskerne har derudover etableret et lignende system med 112.305 unikke IP-adresser i Kina.

I den globale analyse var IP-adresserne knyttet til 2691 autonome systemer (AS), det vil sige adskilte net drevet af operatører og netudbydere.

Forskerne observerede omdirigeret DNS-trafik ved 198 af AS’erne, altså en andel på 7,38 procent.

Ved 158 af disse drejede det sig om forespørgsler sendt til Googles offentligt tilgængelige DNS-tjeneste (IP-adressen 8.8.8.8). Hos mere end halvdelen af AS omdirigeres mere end 90 procent af forespørgsler til DNS-tjenesten nemlig til Google.

Den totale andel af forespørgsler, som bliver omdirigeret, var dog kun på knap 1 procent. Sandsynligheden for omdirigering viste sig at være højere ved brug af meget kendte DNS-tjenester som Googles (0,66 procent af pakkerne) end ved mindre kendte DNS-tjenester som EDU DNS (0,45 procent av pakkerne).

Kun én eneste af alle DNS-forespørgsler resulterede i en ikke-korrekt respons, hvilket forskerne tolker som, at DNS-trafik kun i lille grad bliver manipuleret med, selv om langt mere bliver aflyttet.

Forskerne kommer også ind på, hvad konsekvensen af omdirigering kan være. Først og fremmest kompromitterer det tilliden mellem en brugere og en DNS-tjenester. Langt mere sjældent ses det at kidnapning af webtrafik udnyttes til pengeafpresning.

I Kina

Andelen af omdirigeret webtrafik er ikke overraskende betydeligt højere i Kina, men det er ikke sådan, at samtlige forespørgsler, selv til Googles offentlige DNS-tjeneste, bliver omdirigeret. I Kina blev omdirigering observeret ved 61 af 356 AS’er (17,13 procent).

DNS-forespørgsler kan sendes via både UDP og TCP. Det allermeste skeer via UDP, hvor det ifølge forskerne er teknisk enklere at omdirigere webtrafikken.

27,9 procent af DNS-forespørgslerne over UDF til Googles tjeneste fra kinesiske IP-adresser blev omdirigeret. Tilsvarende andel for TCP var på ’kun’ 7,9 prosent.

Heller ikke i Kina ser det ud til, at DNS-forespørgslerne i nogen særlig grad bliver forfalsket. Men i stedet er det en betydelig andel, som ikke resulterer i nogen respons. Specielt gælder det forespørgsler, som rettes til Googles servere via UDP. Kun 72,1 procent af disse resulterer i en korrekt respons. Tilsvarende andel globalt er 99,34 procent.

Uddaterede servere

I rapporten har forskerne også set nærmere på et tilfældigt udvalg bestående af 205 offentligt tilgængelige DNS-servere, som har været i kontakt med forskernes autorative navneservere.

Forskerne understreger, at udvalget ikke nødvendigvis er repræsentativt, men påpeger alligevel, at bare 43 procent af serverne understøttede de nævnte DNSSEC-forespørgsler.

Af de 205 serverne var 97 baseret på BIND-softwaren. Samtlige af dem benyttede meget gamle versioner af software, ældre end 9.4.0. Disse burde have været skiftet ud før 2009. De gamle versioner har en række sårbarheder og understøtter ikke sikkerhedsrelaterede funktionaliteter som DNSSEC.

Erwin Lansing, der er Head of security & technical advisor, hos danske DK Hostmaster, påpeger, at DNS er en ældre protokol, der ikke har fået indbygget sikkerhedsmekanismer fra starten.

»Det er velkendt, hvor let det er, at omdirigere, og manipulere, DNS trafik, og forskerne yder et stort bidrag til at vurdere omfanget af den sårbarhed,« siger han til Version2.

»DNSSEC forhindrer mange typer angreb mod DNS, men beskytter ikke DNS trafik mellem klienten og udbyderen. Der er derfor udviklet udvidelser til standarden, som DNS over TLS og DNS over HTTPS, der netop beskytter the last mile, og allerede understøttes af flere åbne DNS services.«

Ifølge DK Hostmaster har flere danske ISP'er indført DNS blokering, som primært bruger det mekanisme forskerne kalder Direct responding.

Denne artikel baserer sig på en artikel fra digi.no.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Kenn Nielsen

Det er vel ligegyldigt hvordan andre får at vide hvilke sites du ønsker at benytte dig af, - det være sig mail, surf eller andet.

Om lidt er det 'bagt' ind i Firefox.
Det bliver solgt som en forbedring >>for DIN egen beskyttelse<< - de har allerede advaret om en obligatorisk testperiode hvor de benytter DNS som sædvanligt samtidigt med at de liiige sender forespørgselen krypteret (via DoH) ud til en central funktion.

Men det er og bliver overvågning.

Jeg troede det var løgn da det blev kaldt DoH

K

Jesper Lund

Ifølge V2 artiklen

Ifølge DK Hostmaster har flere danske ISP'er indført DNS blokering, som primært bruger det mekanisme forskerne kalder Direct responding.

Som jeg læser forskernes artikel indebærer "Direct responding" at ISP'en sender et svar på udp/53 forespørgslen fra en anden server end slutbrugeren ønsker.

Hvis der er konkrete eksempler på at danske ISP'er gør dette, vil jeg meget gerne høre om det.

Derefter vil jeg diskutere med IT-Politisk Forenings europæiske kontakter i EDRi, om det kan være en overtrædelse af netneutralitetsforordningen, som i artikel 3, stk. 3 bl.a. forbyder udbydere af interadgangstjenester at "blokere, bremse, ændre, begrænse, forstyrre, nedgradere eller diskriminere et bestemt indhold eller bestemte applikationer eller tjenester eller bestemte kategorier heraf", medmindre en af de tre konkrete betingelser i artikel 3, stk. 3, litra a-c er opfyldt.

Email: jesper(at)itpol.dk
GPG: D836 43E6 58E3 5CF8 15A8 FAAC 996D 5FC3 A773 C4EB

Jesper Lund
Formand, IT-Politisk Forening

Eskild Nielsen

Ved 158 af disse drejede det sig om forespørgsler sendt til Googles offentligt tilgængelige DNS-tjeneste (IP-adressen 8.8.8.8). Hos mere end halvdelen af AS omdirigeres mere end 90 procent af forespørgsler til DNS-tjenesten nemlig til Google.

Så forespørgsler til 8.8.8.8 sendes til Google i stedet for til Google?????????

Log ind eller Opret konto for at kommentere
Brugerundersøgelse Version2
maximize minimize