Forskere: En betydelig del af DNS-forespørgslerne bliver aflyttet

24. august 2018 kl. 05:125
Forskere: En betydelig del af DNS-forespørgslerne bliver aflyttet
Illustration: Angelo Cordeschi/Shutterstock.
Global undersøgelse viser, at ganske meget webtrafik omdirigeres, men kun lidt manipuleres med.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

En gruppe forskere ved Tsinghua Universitet i Kina og Texas Universitet i Dallas, USA, har set nærmere på, hvor stor risikoen er for, at DNS (Domain Name Systems)-opslag bliver omdirigerest og eventuelt manipuleret med.

Forskerne præsenterede resultaterne ved et foredrag under Usenix Security Symposium i forrige uge.

Selve forskningsrapporten kan findes her.

Globalt

Forskerne har etableret et globalt system, som registrerer eventuelle DNS-omdirigering af trafik til og fra DNS-klienter knyttet til 36.173 unikke IP-adresser i 173 lande. Forskerne har derudover etableret et lignende system med 112.305 unikke IP-adresser i Kina.

Artiklen fortsætter efter annoncen

I den globale analyse var IP-adresserne knyttet til 2691 autonome systemer (AS), det vil sige adskilte net drevet af operatører og netudbydere.

Forskerne observerede omdirigeret DNS-trafik ved 198 af AS’erne, altså en andel på 7,38 procent.

Ved 158 af disse drejede det sig om forespørgsler sendt til Googles offentligt tilgængelige DNS-tjeneste (IP-adressen 8.8.8.8). Hos mere end halvdelen af AS omdirigeres mere end 90 procent af forespørgsler til DNS-tjenesten nemlig til Google.

Den totale andel af forespørgsler, som bliver omdirigeret, var dog kun på knap 1 procent. Sandsynligheden for omdirigering viste sig at være højere ved brug af meget kendte DNS-tjenester som Googles (0,66 procent af pakkerne) end ved mindre kendte DNS-tjenester som EDU DNS (0,45 procent av pakkerne).

Kun én eneste af alle DNS-forespørgsler resulterede i en ikke-korrekt respons, hvilket forskerne tolker som, at DNS-trafik kun i lille grad bliver manipuleret med, selv om langt mere bliver aflyttet.

Forskerne kommer også ind på, hvad konsekvensen af omdirigering kan være. Først og fremmest kompromitterer det tilliden mellem en brugere og en DNS-tjenester. Langt mere sjældent ses det at kidnapning af webtrafik udnyttes til pengeafpresning.

I Kina

Andelen af omdirigeret webtrafik er ikke overraskende betydeligt højere i Kina, men det er ikke sådan, at samtlige forespørgsler, selv til Googles offentlige DNS-tjeneste, bliver omdirigeret. I Kina blev omdirigering observeret ved 61 af 356 AS’er (17,13 procent).

DNS-forespørgsler kan sendes via både UDP og TCP. Det allermeste skeer via UDP, hvor det ifølge forskerne er teknisk enklere at omdirigere webtrafikken.

27,9 procent af DNS-forespørgslerne over UDF til Googles tjeneste fra kinesiske IP-adresser blev omdirigeret. Tilsvarende andel for TCP var på ’kun’ 7,9 prosent.

Heller ikke i Kina ser det ud til, at DNS-forespørgslerne i nogen særlig grad bliver forfalsket. Men i stedet er det en betydelig andel, som ikke resulterer i nogen respons. Specielt gælder det forespørgsler, som rettes til Googles servere via UDP. Kun 72,1 procent af disse resulterer i en korrekt respons. Tilsvarende andel globalt er 99,34 procent.

Uddaterede servere

I rapporten har forskerne også set nærmere på et tilfældigt udvalg bestående af 205 offentligt tilgængelige DNS-servere, som har været i kontakt med forskernes autorative navneservere.

Forskerne understreger, at udvalget ikke nødvendigvis er repræsentativt, men påpeger alligevel, at bare 43 procent af serverne understøttede de nævnte DNSSEC-forespørgsler.

Af de 205 serverne var 97 baseret på BIND-softwaren. Samtlige af dem benyttede meget gamle versioner af software, ældre end 9.4.0. Disse burde have været skiftet ud før 2009. De gamle versioner har en række sårbarheder og understøtter ikke sikkerhedsrelaterede funktionaliteter som DNSSEC.

Erwin Lansing, der er Head of security & technical advisor, hos danske DK Hostmaster, påpeger, at DNS er en ældre protokol, der ikke har fået indbygget sikkerhedsmekanismer fra starten.

»Det er velkendt, hvor let det er, at omdirigere, og manipulere, DNS trafik, og forskerne yder et stort bidrag til at vurdere omfanget af den sårbarhed,« siger han til Version2.

»DNSSEC forhindrer mange typer angreb mod DNS, men beskytter ikke DNS trafik mellem klienten og udbyderen. Der er derfor udviklet udvidelser til standarden, som DNS over TLS og DNS over HTTPS, der netop beskytter the last mile, og allerede understøttes af flere åbne DNS services.«

Ifølge DK Hostmaster har flere danske ISP'er indført DNS blokering, som primært bruger det mekanisme forskerne kalder Direct responding.

Denne artikel baserer sig på en artikel fra digi.no.

5 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
4
26. august 2018 kl. 18:50

Tak for dine mange, altid spændende, kommentarer her på V2 Jesper Lund.

3
24. august 2018 kl. 22:34

Ved 158 af disse drejede det sig om forespørgsler sendt til Googles offentligt tilgængelige DNS-tjeneste (IP-adressen 8.8.8.8). Hos mere end halvdelen af AS omdirigeres mere end 90 procent af forespørgsler til DNS-tjenesten nemlig til Google.

Så forespørgsler til 8.8.8.8 sendes til Google i stedet for til Google?????????

2
24. august 2018 kl. 18:05

Ifølge V2 artiklen

Ifølge DK Hostmaster har flere danske ISP'er indført DNS blokering, som primært bruger det mekanisme forskerne kalder Direct responding.

Som jeg læser forskernes artikel indebærer "Direct responding" at ISP'en sender et svar på udp/53 forespørgslen fra en anden server end slutbrugeren ønsker.

Hvis der er konkrete eksempler på at danske ISP'er gør dette, vil jeg meget gerne høre om det.

Derefter vil jeg diskutere med IT-Politisk Forenings europæiske kontakter i EDRi, om det kan være en overtrædelse af netneutralitetsforordningen, som i artikel 3, stk. 3 bl.a. forbyder udbydere af interadgangstjenester at "blokere, bremse, ændre, begrænse, forstyrre, nedgradere eller diskriminere et bestemt indhold eller bestemte applikationer eller tjenester eller bestemte kategorier heraf", medmindre en af de tre konkrete betingelser i artikel 3, stk. 3, litra a-c er opfyldt.

Email: jesper(at)itpol.dk GPG: D836 43E6 58E3 5CF8 15A8 FAAC 996D 5FC3 A773 C4EB

Jesper Lund Formand, IT-Politisk Forening

1
24. august 2018 kl. 13:48

Det er vel ligegyldigt hvordan andre får at vide hvilke sites du ønsker at benytte dig af, - det være sig mail, surf eller andet.

Om lidt er det 'bagt' ind i Firefox. Det bliver solgt som en forbedring >>for DIN egen beskyttelse<< - de har allerede advaret om en obligatorisk testperiode hvor de benytter DNS som sædvanligt samtidigt med at de liiige sender forespørgselen krypteret (via DoH) ud til en central funktion.

Men det er og bliver overvågning.

Jeg troede det var løgn da det blev kaldt DoH

K