Vanlige DNS-angrep og hvordan du beskytter deg
DNS er et kritisk mål for angripere. Lær om cache poisoning, DDoS og domenekapring, og hvilke tiltak som beskytter .no-domenet ditt.
DNS er grunnmuren i all internetttrafikk – og nettopp derfor et attraktivt mål for angripere. Et vellykket DNS-angrep kan omdirigere besøkende til falske nettsider, stoppe e-postleveransen eller lamme tjenestene dine helt. For .no-domener er det viktig å kjenne til de vanligste angrepstypene og ha tiltak på plass.
DNS cache poisoning (forgiftning)
Cache poisoning er en av de mest alvorlige DNS-angrepstypene. Angrepet går ut på å injisere falske DNS-svar i cachen til en rekursiv resolver – serveren som slår opp DNS på vegne av brukernes nettlesere.
Når en resolver er forgiftet, svarer den med feil IP-adresse for et domene. Brukere som besøker domenet ditt, kan ende opp på en side kontrollert av angriperen – uten å vite om det. Nettleseren viser riktig domenenavn i adressefeltet, men kommuniserer med feil server.
Hvordan det skjer: Angriperen sender et høyt volum av forfalskede DNS-svar til en resolver og håper at et av dem aksepteres før det ekte svaret ankommer. Svakere implementasjoner uten tilstrekkelig tilfeldighet i port- og ID-valg er sårbare.
Beskyttelse: DNSSEC (Domain Name System Security Extensions) signerer DNS-svar kryptografisk. En resolver som støtter DNSSEC-validering, vil avvise svar som mangler gyldig signatur – selv om angriperen klarer å injisere et falskt svar. Se vår guide om DNSSEC for hvordan du aktiverer dette for .no-domenet ditt.
DDoS-angrep mot DNS
Distribuerte tjenestenektangrep (DDoS) retter seg mot navnetjenerne med et voldsomt volum av spørringer. Målet er å overvelde serverne slik at legitime DNS-oppslag ikke får svar – og domenet ditt i praksis forsvinner fra internett.
Det finnes to varianter:
- Direkte angrep: Botnett sender millioner av spørringer direkte mot dine navnetjenere.
- Refleksjonsangrep (DNS amplification): Angriperen sender spørringer med forfalsket avsenderadresse (ditt domene) til åpne DNS-resolvere, som svarer med store datapakker til deg. DNS-svar kan være opptil 70 ganger større enn spørringene, noe som forsterker angrepet kraftig.
Beskyttelse:
- Bruk en DNS-leverandør med Anycast-infrastruktur , der angrepsflommen fordeles over mange noder globalt.
- Sørg for at egne navnetjenere ikke fungerer som åpne resolvere.
- Ha en beredskapsplan klar, inkludert kontakt med leverandøren ved angrep.
DNS-kapring (hijacking)
DNS-kapring kan skje på flere nivåer:
Kapring via registrarkontoen
Det vanligste angrepspunktet for .no-domener er selve registrarkontoen. Klarer en angriper å logge inn på kontoen din hos registraren – for eksempel via phishing, svakt passord eller gjenbruk av passord fra et annet sted – kan de endre navnetjenere og peke domenet dit de vil.
Beskyttelse:
- Bruk et unikt, sterkt passord for registrarkontoen
- Aktiver tofaktorautentisering (2FA) der det er tilgjengelig
- Hold kontaktinformasjonen oppdatert, slik at du mottar varsler om endringer
Registry lock
Noen registrarer tilbyr “registry lock” – en mekanisme som krever manuell verifisering (ofte via telefon eller separat kanal) før navnetjenere kan endres. Dette er spesielt aktuelt for bedriftskritiske domener.
Kapring i nettverket (on-path)
En angriper med tilgang til nettverkstrafikken mellom klient og resolver kan manipulere DNS-svar i transitt. DNSSEC beskytter mot dette ved at svaret kan valideres uavhengig av transportveien.
DNS-tunneling
DNS-tunneling er en teknikk der angripere skjuler annen trafikk inne i DNS-spørringer og -svar. Siden DNS-trafikk sjelden blokkeres av brannmurer, kan dette brukes til å eksfiltrere data fra et kompromittert nettverk eller opprettholde kommunikasjon med skadevare.
Dette angrepet retter seg ikke direkte mot domenets DNS-opptime, men mot nettverkssikkerhet mer generelt. Overvåking av unormalt høy DNS-aktivitet eller svært lange domenenavn er tegn å se etter.
Oppsummering av tiltak
| Angrepstype | Primær beskyttelse | Sekundær beskyttelse |
|---|---|---|
| Cache poisoning | DNSSEC | Oppdatert resolver-programvare |
| DDoS | Anycast DNS-leverandør | Volumgrenser, beredskapsplan |
| Registrar-kapring | Sterkt passord + 2FA | Registry lock |
| On-path kapring | DNSSEC | Kryptert DNS (DoH/DoT) |
| DNS-tunneling | Nettverksovervåking | DNS-filtrering |
Hva du bør gjøre nå
For de fleste .no-domener er de viktigste tiltakene enkle å gjennomføre:
- Sikre registrarkontoen med sterkt passord og 2FA
- Aktiver DNSSEC for .no-domenet – støttes av Norid og kan aktiveres gjennom registraren
- Velg en DNS-leverandør med Anycast og god DDoS-kapasitet
- Overvåk DNS-konfigurasjonen jevnlig med DNS-sjekkverktøy
Registrerer du .no-domenet ditt hos Vymo, kan du administrere DNS-poster direkte og ha full kontroll over konfigurasjonen. Finn tilgjengelige domener på Vymos søk .
Klar til å sikre domenet ditt?
Sjekk om navnet er ledig – live mot registeret, på .no, .com og flere.