DNS hjelper oss konvertere domenenavn til IP-adresser. Slik fungerer det.
DNS (domain name system) kan sammenlignes med en offentlig adressebok for internett. Den hjelper datamaskiner lete opp et spesifikt navn (domene) for å se adressen det tilhører (IP). DNS spiller en kritisk rolle i arkitekturen på nett gitt at de fleste domener benytter navn basert på ulike bokstaver og symboler.
Et eksempel er besøk til nettadressen «regjeringen.no». Ved hjelp av DNS vil adressen omgjøres til maskinlesbare tall, i form av en IP adresse. Basert på IP-adressen kan nettleseren kommunisere med serveren til nettsiden for å laste ned informasjonen.
Regjeringen.no sin IP adresse er 217.114.94.2 og ved nærmere sjekk ser vi at den benytter et CDN (Content Delivery Network) fra Azure, via serveren ns2-02.azure-dns.net.
Du kan selv sjekke DNS oppslag via Norid.
Hvorfor trenger vi DNS?
Datamaskiner er ikke i stand til å tolke informasjon på samme måte som mennesker og de leser kun binære kombinasjoner av tall.
Tall utgjør det elementære språket hos alle maskiner, inkludert mobiler, PC og nettbrett. Ulike kombinasjoner dikterer spesifikke instrukser for hvilket arbeid en datamaskin skal utføre.
Nærmest alle domeneadresser oppgis med bokstaver og symboler (for eksempel, vpnguiden.no). I utgangspunktet klarer ikke en datamaskin å lese disse symbolene på egenhånd.
For å konvertere domenet benyttes DNS, som er spesialiserte servere med én jobb: Å konvertere informasjonen til en lesbar IP adresse, omtrent som et oppslagsverk.
De utgjør en kritisk del av internettets infrastruktur, ved at de hjelper datamaskiner å lese menneskelig informasjon. Hensikten bak DNS er derfor å gjøre det enklere å navigere på internett, da vi slipper å skrive inn lange tallrekker for å besøke et domene.
Se for deg at du skal huske en IPv4 adresse bestående 32-byte og opptil 12 tall, fremfor en kort adresse lik vpnguiden.no. Det illustrerer viktigheten av DNS systemet.
Klassifisering
DNS klassisiferes som servere, som igjen er spesialiserte maskiner som utfører oppgaver for andre programmer (klienter). Mobiler, datamaskiner og andre enheter har alle en innebygget DNS klient som henter informasjonen de trenger for å oversette domenenavn til en lesbar IP-adresse.
Det finnes fire typer DNS-servere, alle med ulike arbeidsoppgaver. Disse ser vi nærmere på i neste avsnitt.
4 typer DNS servere involvert
Cloudflare har skrevet en utmerket guide til DNS, hvor de forklarer de fire hoveddelene systemet består av. De spiller alle en viktig rolle i konverteringen av domenenavn til lesbare IP adresser.
Systemet kan sammenlignes med en arkivar som blir bedt om å finne frem til en utvalgt tekst i et arkiv som inneholder millioner av verker. Hver komponent i DNS systemet hjelper snevre inn søket, steg for steg.
- Recursive DNS server: Den første DNS serveren som mottar en forespørsel og setter i gang med søket. Behandler forespørselen og forsøker finne riktig IP adresse basert på noe som kalles for DNS cache. Det kan sammenlignes med returnerte verker, som skal legges tilbake i arkivet. Hvis den ikke finner riktig IP vil den sende forespørselen videre.
- Root name server: Bidrar til å lese IP adressen ved å begrense søket til et mer spesifikt område. For eksempel en spesifikk del av arkivet.
- TLD name server: En top level domain server begrenser søket ytterligere. I vårt eksempel en spesifikk rad med verker, innenfor en begrenset seksjon. TLDs er sluttdelen av en URL adresse, slik som .no, .com og .net. Deretter sendes henvendelsen videre til siste steg.
- Authoritative nameserver: Siste stopp for DNS henvendelsen og den serveren som oppbevarer den spesifikke IP adressen (verket) arkivaren leter etter. Basert på IP adressen kan DNS-klienten til nettleseren hente ut riktig informasjon. Hvis den ikke finner informasjon vil den returnere en feilmelding, oftest i form av en spesifikk kode.
Til tross for at prosessen kan bestå av flere steg, er det hele over på rask tid. Som oftest tar det kun noen millisekunder for DNS-serverne å finne frem til riktig IP adresse. Her finnes det visse unntak, basert på trafikk og nedlastingshastighet.
Her ser du en detaljert forklaring av DNS systemet i video-format.
Sårbarheter
DNS spoofing (cache poisoning)
DNS ble utviklet i en annen tidsalder, basert på tillitt og åpenhet. En moderne utfordring med systemet er at informasjonen kan forfalskes.
DNS spoofing oppstår når de som kontrollerer DNS-serveren forfalsker (endrer) på informasjonen og videresender besøkende til feil adresse. DNS blokkering i Norge er en form for DNS spoofing, enda hensiktene ikke er å stjele informasjon fra besøkende.
Eksempel: Du åpner en katalog for å finne adressen til en gammel venn. Under navnet finner du en adresse som du besøker. Når du kommer frem er det en helt fremmed person som åpner døren.
Dette er en grov forenkling av hva som foregår, men prinsippet er det samme. DNS spoofing forfalsker sluttadressen, enda henvendelsen til nettleseren bruker riktig informasjon. Avanserte angripere kan skape kloner av nettsider for å hente ut sensitiv informasjon, slik som personnummer.
For å «spoofe» DNS, vil angripere bruke en taktikk som kalles for DNS Cache Poisoning. En DNS cache er et system som lar oss lagre IP informasjon lokalt. Har vi besøkt en nettside trenger vi ikke hente ut samme informasjonen på nytt, og det lagres derfor i en lokal mappe.
Cache poisoning oppstår når falsk informasjon lagres i mappen for DNS cache. Resultatet blir at forespørsler besvares med feil nettaddresse. Vi er ekstra sårbare for slike angrep ettersom DNS klienten i nettleseren ikke har noen måte å verifisere at informasjonen er korrekt.
Som et resultat vil en DNS cache forbli infiltrert inntil informasjonen slettes manuelt, eller automatisk slettes via noe som kalles TTL. Nye løsninger er under utvikling for å bekjempe problemet, inkludert standarden DNSSEC.
Hvordan oppstår det?
DNS spoofing kan skje på flere måter, men den vanligste er at brukeren benytter en «gratis» DNS som de finner listet opp på nettet, og deretter endrer de lokale systeminnstillingene. Gratis-tjenestene lover gjerne raskere hastigheter, økt sikkerhet eller lignende for å tiltrekke seg nye «kunder».
Når en falsk DNS-fil er lagret lokalt i cache vil den samme informasjonen brukes på nytt senere. Det gjør oss ekstra sårbare for angrep.
Vanligvis brukes DNS-serveren som tilhører den lokale nettleverandøren, også kalt ISP (Internet Service Provider). Det er derimot begrenset hvor mange IP adresser de kan lagre lokalt, og det hender seg at forespørselen blir videresendt til en annen DNS server.
I Norge er ikke dette et uttalt problem, men i andre land har det skjedd at ISP-er sine DNS videresender henvendelser til oppslagsverk som kontrolleres av kriminelle.