Domæner og IP-adresser
I dag dominerer søgemaskiner World Wide Web. For at besøge Increase Your Skills GmbH's hjemmeside er det for eksempel meget få brugere, der direkte indtaster domænet increaseyourskills.com i URL-linjen i deres webbrowser. I stedet vil de fleste skrive noget i retning af "increase your skills courses" eller "increase your skills data protection" for at få en søgemaskine til at liste et par hits, og derefter klikke på det første relevante hit for endelig at komme til den ønskede hjemmeside. Det er praktisk og for mange den sædvanlige måde at bruge tjenester på World Wide Web på. Men hvis vi allerede kender domænet for en tjeneste, så er omvejene via en søgemaskine stort set overflødige: Så kan vi gå direkte til domænet for den ønskede tjeneste. Det er med til at spare data for søgemaskinerne, og det forhindrer også, at vi ved et uheld vælger det forkerte søgehit.
Domæner som increaseyourskills.com eller elearning.increaseyourskills.com eller shop.increaseyourskills.com overtager den opgave på internettet og i World Wide Web, som udføres af postadresser: de fungerer som adresser for det respektive område, der tilhører en bestemt person eller institution. Det er stort set alt, hvad vi behøver at vide om domæner og adressering på internettet for at finde rundt på World Wide Web. Men som det så ofte er tilfældet inden for informationsteknologi, er det kun den halve sandhed. Teknisk set er det ikke mennesker, der udveksler data over internettet, men computere. Men computere adresserer ikke hinanden via domæner som increaseyourskills.com, men via såkaldte internetprotokoladresser, forkortet IP-adresser, som 81.169.145.162 eller 195.201.99.19 eller 23.227.38.74. I sidste ende er domænerne ikke andet end venligere pseudonymer for disse IP-adresser, da ord og ordsekvenser er lettere for os mennesker at huske end talsekvenser.
Domænenavnssystemet
Alle gyldige domæner får tildelt en sådan IP-adresse. For eksempel, før en laptop eller smartphone kan kontakte domænet increaseyourskills.com, skal dette domæne oversættes til den tilsvarende IP-adresse. Men ingen computer har gemt en liste over alle domæner og deres tilsvarende IP-adresser. Så hvordan finder vores laptop eller smartphone ud af, hvilken IP-adresse der ligger bag domænet increaseyourskills.com? Det er her, det såkaldte Domain Name System (forkortet DNS) kommer ind i billedet. Domain Name System er den netværkstjeneste, hvor hver computer kan anmode om den IP-adresse, der er tildelt et gyldigt domæne.
For et domæne, som en computer besøger ofte eller har besøgt for nylig, kender den allerede IP-adressen. Hvis det ikke er tilfældet, anmoder den om IP-adressen fra den næste DNS-server. Hvis der er tale om en fast internetforbindelse, er det normalt den lokale netværksrouter, som regulerer datatrafikken mellem de computere, der er registreret i det lokale WLAN eller LAN, og internettet. Hvis den lokale netværksrouter heller ikke kender IP-adressen for et bestemt domæne, beder den om denne information igen fra den nærmeste DNS-server. Normalt er det en DNS-server, som drives af den internetudbyder, der er ansvarlig for den lokale internetforbindelse. De fleste internetudbydere har flere DNS-servere i drift til dette formål. Hvis internetudbyderens DNS-servere heller ikke kender IP-adressen for et bestemt domæne, kontakter de den nærmeste DNS-server igen. Der er et strengt hierarki af sådanne DNS-servere på internettet. For hvert domæne er det præcist bestemt, hvilken DNS-server der så at sige har det sidste ord for dette domæne. Det forhindrer bl.a. DNS-serverne på internettet i at spørge hinanden i det uendelige om den tilsvarende IP-adresse til et frit opfundet domæne.
DNS-spoofing
En DNS-servers hovedopgave er at besvare forespørgsler fra computere, der ønsker at kende den tilknyttede IP-adresse til et bestemt domæne. Hvis vi kan få en DNS-server til at besvare en sådan forespørgsel ikke med den faktiske IP-adresse, men med en anden IP-adresse, som vi har givet, laver vi DNS-spoofing. På denne måde kan dataudvekslingen mellem en brugers terminal og en server på internettet omdirigeres til en anden server.
Et nemt mål for DNS-spoofing er den lokale netværksrouter i hjemmenetværket eller firmanetværket, fordi det i de fleste tilfælde er den første DNS-server, som computerne i det lokale netværk kontakter. Antag, at vi har administrativ adgang til netværksrouteren. I så fald er det nemt at lave yderligere DNS-poster i den og omdirigere datatrafikken for visse domæner specifikt til andre servere. Hvis der ikke var yderligere sikkerhedsforanstaltninger, ville det f.eks. være nemt at narre brugere i det lokale netværk til at tro, at de besøger en bestemt hjemmeside, når de i virkeligheden besøger en manipuleret kopi af denne hjemmeside.
At manipulere DNS-serverne hos en internetudbyder eller i den dybere internetinfrastruktur kræver på den anden side avanceret ekspertise i computernetværk og netværksprotokoller. Der findes en række kendte angrebsscenarier på DNS. Mange af dem er kun historisk relevante, fordi DNS hele tiden udvikles og hærdes mod sådanne angreb. For eksempel er der med DNSSEC en række udvidelser til Domain Name System, som gør det muligt at autentificere svarene fra en DNS-server kryptografisk. Desværre er DNSSEC endnu ikke i udbredt brug.
Opdagelse af DNS-spoofing
For netværksadministratorer og andre brugere med en forkærlighed for teknologi findes der software, som kan bruges til at udføre en passende DNS-audit. Alle almindelige Linux-distributioner indeholder den frit tilgængelige værktøjskasse DNSDiag, som kan bruges til at analysere DNS-svar, for eksempel for at afgøre, om en DNS-forespørgsel er genstand for et man-in-the-middle-angreb. Ved normal, daglig brug af internettet og World Wide Web er det i øjeblikket meget vanskeligt at afgøre, om en falsk IP-adresse bliver påtvunget os ved hjælp af DNS-spoofing. At vores slutenhed så at sige stoler blindt på DNS-serverens svar, ligger i sagens natur uden kryptografisk autentificering af DNS-svarene.
Heldigvis er dataoverførsel på internettet i dag i de fleste tilfælde sikret af en kryptografisk protokol kaldet TLS. På World Wide Web genkender vi brugen af TLS ved, at adressen i URL-linjen ikke begynder med http://, men med https://. Moderne webbrowsere viser også en lille lås foran adressen for at indikere, at forbindelsen er sikret med TLS. Hvis forbindelsen til serveren er sikret med TLS, kan DNS-spoofing stadig få anmodninger til at blive omdirigeret til en forkert server, men takket være TLS genkender vores slutenhed, at det ikke er den rigtige server, og afbryder kommunikationen.
Så når du surfer til daglig, så kig efter den lille lås i URL-linjen, og sørg for, at https:// kommer før alle webadresser. Så vil TLS-protokollen også beskytte dig mod konsekvenserne af et DNS-spoofing-angreb.
