DNS

Eindelijk weer een Achterkrant over iets dat direct met internet te maken heeft, namelijk het Domain Name System. Afgekort tot DNS of nameserver. De reden voor dit onderwerp is minder prettig omdat de verwachting is dat een heleboel mensen hier binnenkort geen gebruik meer van kunnen maken.

DNS

Voor degenen die DNS niet kennen, even een korte inleiding. Zoals bekend gebruiken mensen namen om verbinding te zoeken met servers. Omdat computers echter met nummers werken, moet er een vertaling plaatsvinden. Dat doet DNS. U tikt een naam in en uw computer maakt de verbinding met het IP adres van de website waar u naar toe wilt.

Hoe doet uw computer dat? Daar komt DNS om de hoek kijken. Als uw computer opstart, krijgt hij namelijk zelf ook een IP adres van de zogenaamde DHCP server. Maar hij krijgt niet alleen een IP adres. De DHCP server levert ook nog andere informatie. Daaronder ook het IP adres van de nameserver, de server die voor uw computer de vertaling van naam naar nummer verzorgt.

Bij grote organisaties hebben ze daar aparte servers voor, maar bij gewone kabel- en ADSL-aansluitingen wordt dat meestal door de router verzorgt. Die krijgt de gegevens over de nameserver van de provider, ook weer via DHCP, als hij opstart.

DNSchanger

Tot nu toe werkt alles zonder problemen. Sinds enige tijd waart er echter een virus rond dat de gegevens van de nameserver op uw computer, en in sommige gevallen zelfs in de router, wijzigt. Niets aan de hand zou u zo zeggen, want een nameserver is een nameserver. En als hij niet werkt, merk je het gelijk.

De truuc is dat er wordt verwezen naar een nameserver die gewoon werkt. Alleen geeft die server soms valse informatie. Als u bijvoorbeeld naar de website van een krant gaat, worden advertenties getoond. Die advertenties komen niet van de server van de krant, maar van een externe organisatie. Dat is dus een ander IP adres dan dat van de krant. Nu geeft die valse nameserver je wel het IP adres van de krant, maar voor de advertenties het IP adres van een andere adverteerder.

Zij verdienen dus geld voor advertenties dat eigenlijk voor de krant was bedoeld. Ook niet erg, toch? Toch wel. Er is namelijk geen garantie dat die advertenties geen valse informatie bevatten. Of, nog erger, gewoon een virus installeren op uw computer, terwijl u gewoon de krant zit te lezen.

FBI

Vorig jaar is, onder leiding van de FBI, een zaak gestart tegen de organisatie die dit virus verspreide en de nameservers beheerde. De personen zijn opgepakt en de servers zijn in beslag genomen. De FBI heeft een derde organisatie gevraagd het beheer van die nameservers op zich te nemen. De rechter heeft hiervoor toestemming gegeven tot 8 maart 2012.

Sinds die tijd leveren de nameservers geen valse informatie meer. Daarnaast wordt bijgehouden wie een verbinding maakt met die nameservers. Die lijst wordt sinds die tijd verspreid onder alle ISP's in de wereld. Zij kunnen vervolgens hun gebruikers waarschuwen.

Waarom waarschuwen? Het werkt toch? Ja, nu nog wel. Maar, zoals gezegd, loopt de gerechtelijke toestemming tot begin maart. Op dat moment moet die externe organisatie de nameservers uitzetten. Met als gevolg dat iedereen die nog steeds besmet is en de verkeerde nameservers gebruikt, plotseling nergens meer bij kan.

De geconfigureerde nameservers zijn niet meer bereikbaar en geven dus geen antwoord meer. In feite betekent dit het einde van internet voor die gebruikers.

IAF

IAF is een internet provider en krijgt dus een lijst met IP adressen van besmette machines in haar netwerk. Al moet ik eigenlijk zeggen dat we die lijst niet krijgen. Klanten van ons blijken niet besmet te zijn.

Als u echter merkt dat een kennis plotseling niet meer internet op kan, bedenk dan dat dit heel goed het probleem kan zijn. Om te testen of u nog wel een verbinding heeft, kunt u met ping kijken of u 8.8.8.8 kunt bereiken. Dat is de nameserver van Google. Die is altijd bereikbaar.

Testen

Het kan natuurlijk zijn dat u wel besmet bent, maar dat iets er voor zorgt dat u niet in de lijst met besmette machines terecht bent gekomen.

Er zijn gelukkig een aantal sites waarmee u kunt testen of u besmet bent, zoals dns-changer.eu en security.ucla.edu/dnschanger. Of bij de FBI zelf. Daar is ook meer informatie over de FBI-actie te vinden.

Disclaimer

Dit artikel is eerder gepubliceerd als een officiële Achterkrant voor Internet Access Facilities.