DNS är internets nervsystem
– en funktion som bara fungerar, tills den inte gör det.
När DNS fallerar stannar hela den digitala kommunikationen: mejl, webb och applikationer.
Den här guiden visar varför DNS är avgörande för både tillgänglighet och säkerhet – hur angripare utnyttjar det i sina attacker, men också hur du kan använda samma funktion som ett aktivt skydd.
Samtidigt har applikationer blivit mer exponerade än någonsin tidigare. De ska nås via webben, via mobiltelefoner och surfplattor och ibland även direkt från andra system. De är byggda för att vara tillgängliga och kommunikationen kan ske på flera olika sätt.
Du får en praktisk genomgång av hur DNS fungerar, vilka hot som är vanligast, och hur du stärker grunden i din digitala infrastruktur.
Alternativa versioner av guiden
Guiden går även att ladda ner som PDF för dig som vill kunna läsa den offline.
Och för dig som inte vill eller har möjlighet att läsa, så har vi med hjälp av AI tagit fram ljud- och video-sammanfattningar av guiden.
Samtliga ljud-podar finns även på Cuebids Spotify-konto och alla videos hittar du även på Cuebids YouTube.
1. DNS – hur allt började
DNS (Domain Name System) skapades i början av 1980-talet när internet började växa och människor behövde ett enklare sätt att hitta rätt på nätet.
Tidigare fick man hålla reda på långa rader av siffror för att nå en viss dator eller webbplats – ungefär som att behöva komma ihåg varje telefonnummers siffra istället för ett namn.
DNS infördes 1983 som ett sätt att förenkla internets adressering.
Fokus låg då på tillgänglighet och enkelhet – inte säkerhet.
För att lösa det problemet utvecklades DNS – internets adressbok. Den gjorde det möjligt att skriva ett enkelt domännamn och automatiskt bli kopplad till rätt plats. Målet var att göra internet mer tillgängligt, användarvänligt och skalbart när antalet datorer ökade snabbt.
Men när DNS skapades låg fokus inte på säkerhet.
Det viktiga då var att allt skulle vara öppet och fungera smidigt för alla.
I dag vet vi att den öppenheten också gör DNS till en kritisk säkerhetskomponent – något som både måste skyddas och kan användas för att skydda oss.
2. Vad är DNS - och varför behöver det skyddas?
Tänk dig att du ska ringa någon men bara känner till deras namn, inte deras telefonnummer. För att göra det möjligt skulle du behöva slå upp numret i en telefonkatalog. På samma sätt fungerar DNS som en telefonkatalog eller till och med en telefonväxel för hela internet – det översätter namn som www.cuebid.se till de numeriska IP-adresser som datorer använder för att kommunicera.
Eller så här…
Tänk dig att du ska hälsa på en vän, men du vet bara deras namn – inte den exakta adressen. Du tar fram din adressbok, bläddrar fram deras namn, och där står: "Anna Andersson, Solrosvägen 12". Nu vet du vart du ska. DNS är exakt som den där adressboken, fast för internet… och helt automatiskt. Du skriver in ett namn i till exempel en webbläsare och bakom kulisserna jobbar DNS:en för dig: "Ja, den där sidan bor på 192.168.1.1". Utan DNS skulle vi inte hitta rätt på internet!
DNS är idag så grundläggande att vi tar det för givet. När du skickar ett e-postmeddelande, använder en molntjänst eller öppnar en webbsida, är det DNS som gör att allt fungerar. Men trots sin centrala roll är DNS en av de minst skyddade delarna av internets infrastruktur, vilket gör det till ett av de första målen för cyberkriminella.
Analogt exempel:
Om DNS är som internets telefonkatalog, är en DNS-attack som att någon byter ut alla eller bara vissa utvalda telefonnummer i katalogen så att du ringer en bedragare i stället för din bank. Eller att någon manipulerar ett företags telefonväxel så att vissa samtal kopplas till någon annan än den man tror att man ringer.
3. Två sätt att tänka kring DNS - "DNS-säkerhet" och "DNS som skydd"
DNS-säkerhet – att skydda funktionen
DNS är en av de mest grundläggande funktionerna i hela internet – men den skapades långt innan säkerhet var en självklar del av designen. Då handlade allt om att det skulle vara öppet och fungera snabbt. I dag fungerar det inte längre att lämna DNS helt oskyddat. För att kunna använda DNS på ett öppet sätt behöver vi se till att det är rätt uppsatt och kontrollerat.
DNS-säkerhet handlar om att skydda själva funktionen – så att ingen kan ändra, lura eller använda den på fel sätt. Det kan handla om att kryptera trafiken, hindra manipulation av adressuppslagningar eller begränsa vilka som får fråga våra DNS-servrar.
Eller så här…
Tänk dig att du använder GPS i bilen för att hitta rätt väg.
Den fungerar utmärkt – så länge kartan är korrekt och GPS:en vet var du är.
Men om någon manipulerar kartan, stör signalen så att du verkar vara på en annan plats, eller sätter upp falska vägskyltar som leder dig fel, riskerar du att hamna långt bort från ditt mål.
”DNS-säkerhet” handlar om att se till att kartan är äkta, GPS:en pålitlig och skyltarna korrekta – så att du alltid hittar rätt väg på internet.
DNS som skydd – att använda funktionen som ett skydd
På senare år har vi sett att även angripare använder DNS – inte bara för att hitta saker på internet eller lura användare till falska platser, utan också som en dold kommunikationsväg för sina attacker. Det kan handla om att skicka ut data eller prata med skadlig kod inne i ett nätverk.
Men det går också att vända på det. Genom att analysera DNS-trafik – till exempel vilka domäner som är nya, misstänkta eller används av kända hotaktörer – kan vi upptäcka och stoppa attacker tidigt.
DNS som skydd betyder alltså att använda samma kanal som angriparna – fast åt andra hållet. Vi kan blockera trafik mot skadliga domäner, stoppa dataläckor och agera innan ett hot hinner påverka verksamheten.
Eller så här…
Tänk dig att du är på väg att resa och går genom säkerhetskontrollen på flygplatsen.
Alla resenärer passerar samma kontrollpunkt – där varje väska röntgas, varje pass scannas och varje misstänkt föremål stoppas innan det når gaten.
För den som har rent bagage märks det knappt, men för den som bär på något förbjudet, eller som flaggats som misstänkt, tar resan slut redan där.
”DNS som skydd” fungerar på samma sätt – den granskar alla förfrågningar, släpper igenom det som är säkert och stoppar det som är skadligt eller misstänkt innan det hinner ta sig in i eller ut ur verksamhetens nätverk.
4. Vanliga hot i DNS - och hur de fungerar
Eftersom DNS är så fundamentalt för internet används det ofta som en attackvektor. Här är några av de vanligaste hoten:
DNS spoofing
Är en attack där angriparen skickar ett falskt DNS-svar till en dator, så att den tror att en viss webbadress leder till en annan IP-adress – till exempel en falsk hemsida. Det är ofta en tillfällig attack, där angriparen "lurar" en specifik användare i just det ögonblicket.
Eller så här…
Tänk dig att du är turist i en ny stad och går till turistbyrån för att fråga vägen till banken. Men precis innan du hinner fram, kommer någon och säger:
– “Jag jobbar där! Banken ligger åt det hållet!”
Du tror på personen, går dit – men hamnar istället vid en fejkad bank där bedragare väntar. Det var aldrig turistbyrån som gav dig informationen – det var en bedragare som låtsades vara hjälpsam i precis rätt ögonblick.
Det är DNS spoofing – en snabb och ofta tillfällig ”bluff”, där någon hinner före det riktiga svaret och lurar dig i farten.
DNS poisoning
Är en attack där angriparen planterar falsk information i en DNS-server. Det innebär att varje gång någon försöker slå upp en viss webbadress, får de fel IP-adress – och hamnar på en falsk sida. Felet ligger kvar i DNS-serverns minne (cache) under en längre tid, och påverkar många användare.
Eller så här…
Du går till samma turistbyrå för att få vägbeskrivning till banken. Men den här gången är det inte någon utanför som lurar dig – det är själva turistbyrån som har blivit lurad. Någon har smugit in under natten och bytt ut kartorna och informationen i deras system. Så när du frågar efter vägen, får du en felaktig, men fullt trovärdig, vägvisning – direkt från källan.
Det är DNS poisoning – själva vägledningen är manipulerad eller ”förgiftad”, så alla som frågar blir lurade, gång på gång, tills någon upptäcker och rättar till felet.
Skillnaden mellan Spoofing och Poisoning
- DNS spoofing är en snabb bluff utanför turistbyrån.
- DNS poisoning är ett djupt sabotage inuti turistbyrån.
Båda leder dig fel – men på olika sätt.
DNS Överbelastning (DoS)
Är en typ av överbelastningsattack (DoS - Denial of Service, eller Distributed Denial of Service (DDoS) om attacken sker koordinerat från många olika håll samtidigt) där angripare skickar en överväldigande stor mängd förfrågningar till en DNS-server för att göra den överbelastad och otillgänglig. Det gör att användare inte kan slå upp webbadresser – vilket i praktiken gör att hela internet "slutar fungera" för dem.
Eller så här…
Tänk dig att du har en receptionist i ditt hus som hjälper alla att hitta rätt rum. Men plötsligt stormar hundratals personer in samtidigt, alla pratar i munnen och ställer frågor om och om igen – bara för att störa. Till slut kan inte receptionisten hjälpa någon, inte ens dig som faktiskt bor där.
Det är exakt vad en DNS-överbelastning gör. Den dränker DNS-servern i onödiga frågor, tills den inte längre hinner svara på riktiga – och då slutar allt att fungera som det ska.
DNS-tunneling
Är en teknik där DNS används för att skicka annan typ av data än vad som är tänkt – till exempel kommandon, filer eller känslig information. Det används ofta av angripare för att smuggla data ut ur ett nätverk eller för att kommunicera med skadlig kod, eftersom DNS-trafik nästan alltid är tillåten i brandväggar.
Eller så här…
Tänk dig att du bor i ett hus med stränga regler – du får inte ta emot paket från vem som helst. Men det är ett undantag: pizzabudet får alltid komma fram, oavsett tid eller dag. Nu tänker någon smart: "Aha! Jag gömmer små meddelanden i pizzakartongen!" Så varje gång pizzan levereras, finns det ett litet hemligt brev under osten. Ingen misstänker något, för det ser bara ut som en vanlig leverans. DNS-tunneling är just det – att gömma förbjudet innehåll i något som alltid släpps igenom.
I praktiken kan meddelanden, filer och stora mängder data delas upp i tusentals pyttesmå ”textpaket” som ett efter ett skickas som en till synes oskyldig DNS-förfrågan som skickas till en specifik DNS-server. När förfrågan tas emot så packas varje litet paket upp och sätts sedan ihop till en komplett fil. På så sätt kan hotaktörer smuggla in och ut data från ett nätverk utan att upptäckas.
Det du kan göra för att förhindra detta är att ha koll på vilka domäner och adresser som hotaktörerna använder och aktivt stoppa all trafik till och från dessa. Det finns färdiga tjänster som hjälper dig med detta.
Command and Control (C2)
Är i sig inte ett missbruk av DNS, men eftersom hotaktörer behöver kunna kommunicera mellan skadlig kod hos offren och sina styr- och kontrollservrar hemma, så behöver de i de flesta fall använda DNS för att etablera den här typen av kommunikation.
När skadlig programvara väl har infekterat en dator i nätverket måste den ta oftast emot vidare instruktioner från angriparen. (Till exempel Rapportera var den är och vad den vet, få instruktioner om när den skall aktivera kryptering, smuggla ut stulen data, etc.) Eftersom i stort sett all kommunikation är beroende av DNS, så behöver oftast även angripare använda sig av DNS för att få kontakt med sina kontroll-servrar eller ”C2-servrar” (Command and Control).
Eller så här…
Tänk dig att en angripare har lyckats ta sig in och gömma sig i era lokaler. Han behöver nu ringa ”hem” för att berätta var han är, vad han har fått veta och för att få instruktioner om nästa steg. Han kanske även behöver koppla upp sig för att kunna smuggla ut viktiga dokument. Men, för att kunna ringa hem så behöver han använda sig av företagets telefonväxel då det är det enda sättet att kommunicera ut på då företaget medvetet blockerar all mobiltelefontrafik (motsvarande brandväggar som blockerar ej önskvärd trafik).
Telefonväxeln är i detta fall samma sak som DNS (som är en tillåten trafik ut genom brandväggen). Genom att analysera telefonväxeln, se vilka olika nummer som rings upp och jämföra detta med realtidsuppdaterade listor med kända och misstänka telefonnummer tillhörande skurkar, så skulle det vara möjligt att ytterligare begränsa möjligheten för angriparen att kunna kommunicera hem.
5. Varför DNS är en idealisk attackvektor
DNS är som internets nervsystem - en global telefonväxel och adressbok. Den hanterar miljarder förfrågningar varje dag och är en kritisk del av all datakommunikation. Men eftersom det fungerar i bakgrunden är det ofta dåligt skyddat. Här är några skäl till varför DNS är en populär attackvektor:
- Global räckvidd: En lyckad attack mot DNS kan påverka miljontals användare samtidigt.
- Bristande säkerhet: Många organisationer använder fortfarande äldre DNS-teknik som saknar moderna skyddsmekanismer.
- Osynlighet: DNS-trafik granskas ofta inte lika noggrant som annan nätverkstrafik, vilket gör det lättare för angripare att smyga förbi säkerhetssystem.
- Otydligt ansvar: DNS ses av många organisationer som en grundläggande nätverksfunktion där man fokuserar på tillgängligheten mer än säkerheten, vilket ofta leder till att ingen riktigt tar ett helhetsansvar för säkerheten. Av samma anledning saknar ofta säkerhetsavdelningar insikt i DNS-funktionen, då den hanteras av en annan del av IT.
Visste du?
Enligt ENISA (The European Union Agency for Cybersecurity) kan 92 % av alla cyberattacker som involverar DNS stoppas om organisationer implementerar moderna säkerhetsåtgärder.
6. Grunderna i DNS-säkerhet
DNS-säkerhet handlar om att införa flera lager av skydd som arbetar tillsammans för att minska risken för attacker. Här är tre grundläggande tekniker:
1. DNSSEC
DNSSEC fungerar som ett digitalt sigill som säkerställer att DNS-data inte har manipulerats.
Analogt exempel: DNSSEC är som en poststämpel som bevisar att ett brev verkligen kommer från avsändaren och inte har öppnats eller ändrats på vägen.
2. Kryptering (DoH/DoT)
Traditionell DNS-trafik skickas okrypterad, vilket innebär att den kan snappas upp av obehöriga. Protokoll som ”DNS over HTTPS” (DoH) och ”DNS over TLS” (DoT) krypterar DNS-trafiken och skyddar den från avlyssning.
Analogt exempel: Att kryptera DNS är som att sätta ett hänglås på din brevlåda så att ingen annan kan läsa din post.
3. Avancerad övervakning
Övervakningsverktyg analyserar DNS-trafiken i realtid för att upptäcka misstänkta mönster och blockera hot.
Visste du? Tjänster som till exempel Infoblox Threat Defense kan aktivt identifiera och blockera misstänkta DNS-förfrågningar innan de orsakar skada. De kan göra det eftersom de hanterar en stor del av världens DNS-förfrågningar och arbetar aktivt med att identifiera misstänkta servrar och adresser på internet. All information kring detta sprider man sedan till kunderna blixtsnabbt, som då automatiskt kan identifiera och effektivt blockera försök att kommunicera med bekräftade och misstänkta servrar som används av hotaktörer.
7. Praktiska steg för att
implementera DNS-säkerhet
Så här kan du börja säkra din organisations DNS:
- Kartlägg din infrastruktur:
Identifiera alla DNS-servrar och tjänster som används i din organisation. - Använd övervakningsverktyg:
Övervaka DNS-trafiken för att upptäcka och blockera hot i realtid. - Implementera DNSSEC och kryptering:
Säkerställ att DNS-data verifieras och att trafiken är skyddad. - Utbilda personalen:
Skapa medvetenhet om hur phishing, DNS-attacker och falsk omdirigering av webbsidor fungerar. - Samarbeta med experter:
Cuebid kan hjälpa dig att implementera rätt lösningar och säkerställa att din DNS-säkerhet är uppdaterad.
8. DNS och NIS2 - en enkel väg till efterlevnad
När den nya cybersäkerhetslagen (NIS2) blir svensk lag i januari 2026 får alla verksamheter som är samhällsviktiga eller digitalt beroende ett tydligare ansvar för att skydda sin information och snabbt rapportera incidenter.
Det handlar inte om tekniken i sig i första hand – utan om struktur, ansvar och förmåga att upptäcka och hantera hot i tid.
Här kan DNS bli en naturlig hjälp:
- DNS-säkerhet bidrar till att förebygga risker – den ser till att grunden i er digitala kommunikation är korrekt, spårbar och inte kan manipuleras. Det motsvarar NIS2:s krav på att ha kontroll över sina digitala tillgångar och minska sårbarheter.
- DNS som skydd stärker er förmåga att upptäcka och agera snabbt. Genom att se när något avviker, till exempel om en användare försöker nå en misstänkt adress, får ni tidiga varningssignaler – något som NIS2 lägger stort fokus på.
Tillsammans hjälper dessa två delar er att uppfylla tre centrala mål i NIS2:
- Förebygga digitala incidenter innan de påverkar verksamheten.
- Upptäcka och begränsa attacker när de sker.
- Rapportera händelser snabbt och med rätt underlag.
Kort sagt: DNS-säkerhet ger er stabil grund, DNS som skydd ger er tidig upptäckt – och tillsammans visar de att ni tar ert cybersäkerhetsansvar på allvar, precis som NIS2 kräver.
9. Förkortningar och vanliga begrepp kopplade till DNS
C2 (Command and Control)
”Kommunikationskanal” som används av angripare för att fjärrstyra skadlig kod i ett nätverk.
DDI (DNS, DHCP, IPAM)
Samlingsbegrepp för tre centrala funktioner i nätverk: DNS för namnuppslag, DHCP för utdelning av IP-adresser och IPAM för att hålla ordning på adresserna. Se mer om dem separat nedan.
DHCP (Dynamic Host Configuration Protocol)
Protokoll som automatiskt delar ut IP-adresser till datorer och enheter i nätverket.
DHCP fungerar som ett system som automatiskt delar ut IP-adresser till enheter i ett nätverk. När du kopplar upp din dator eller mobil till ett nätverk, frågar den efter en adress – och DHCP-servern svarar med: "Här, ta den här IP-adressen och lite annan viktig nätverksinfo. En enhet kan även ha en fast förkonfigurerad IP-adress, men DHCP gör alltså så att man slipper tänka på det eller administrera det manuellt.
Eller så här…
Tänk dig att du kommer till ett hotell. Du går fram till receptionen, och utan att du behöver fråga mycket får du ett rum: "Välkommen! Du får rum 204. Här är nyckeln och info om frukosttider." Det är precis vad DHCP gör. Den är som hotellets reception – den delar ut rätt "rum" (IP-adress) till varje gäst (enhet) så att alla får plats och vet vart de ska. Och när du checkar ut? Då blir rummet ledigt för nästa gäst. Smidigt, automatiskt – och ingen behöver gissa var de ska bo.
DNS (Domain Name System)
Internets ”adressbok” som översätter domännamn till IP-adresser.
DNSSEC (Domain Name System Security Extensions)
Säkerhetsförbättring för DNS som garanterar att svaren kommer från rätt källa och inte har manipulerats.
DoH (DNS over HTTPS)
Teknik som krypterar DNS-trafik via HTTPS för att skydda den från avlyssning.
DoT (DNS over TLS)
Teknik som krypterar DNS-trafik via TLS (Transport Layer Security) för ökad integritet.
ENISA (European Union Agency for Cybersecurity)
EU:s myndighet för cybersäkerhet som tar fram riktlinjer, forskning och rapporter om cyberhot. - https://www.enisa.europa.eu/
IP (Internet Protocol)
Det system som ger varje enhet en unik adress på nätverket.
IP-adress är en unik adress som identifierar en enhet, som till exempel en dator, en server, en skrivare eller kanske en mobiltelefon, i ett nätverk, ungefär som en hemadress fast för datorer och andra prylar som är uppkopplade. Det finns två versioner: IPv4 som ser ut så här och den nya standarden IPv6 som är längre och mer komplexa och som ser ut så här. IP-adressen avgörande för att gör att data/information vet vart den ska skickas.
Eller så här…
Tänk dig att du ska skicka ett brev till en kompis. För att det ska komma fram måste du skriva rätt adress på kuvertet – annars vet inte posten vart det ska gå. En IP-adress är precis som den hemadressen, fast för din dator. Den visar var din enhet "bor" på nätverket och/eller internet, så att information som skickas både internt och via internet kommer rätt. Utan IP-adresser skulle det vara som att posten bara sprang runt med en säck full av brev – utan att veta vem som ska ha vad.
IPAM (IP Address Management)
System för att organisera och hantera IP-adresser i ett nätverk.
IPAM handlar om att organisera, övervaka och hantera IP-adresser i ett nätverk. Det hjälper till att hålla koll på vilka IP-adresser som används, vilka som är lediga, och förhindrar konflikter där två enheter försöker använda samma adress. IPAM är ofta integrerat med DHCP och DNS för att hålla nätverket stabilt och effektivt.
Eller så här…
Tänk dig att du är fastighetsförvaltare i ett stort bostadsområde. Varje lägenhet har ett unikt nummer – som en IP-adress. Med IPAM har du en exakt lista på vem som bor var, vilka lägenheter som är lediga, och du ser direkt om någon råkat flytta in i fel lägenhet. Det gör att du snabbt kan lösa problem och hålla koll på hela området utan kaos. Utan den här listan? Ja, då skulle folk flytta in lite var som helst – och så blir det bråk om utrymmet.
IPv4 / IPv6
Två versioner av Internet Protocol. IPv4 är den äldre och använder kortare adresser, IPv6 är nyare och stödjer fler adresser.
MSB (Myndigheten för samhällsskydd och beredskap)
Svensk myndighet som har tillsyn och samordningsansvar för cybersäkerhet enligt NIS2.
NIS2 (Network and Information Security Directive 2)
EU-direktiv som ställer krav på säkerhet, riskhantering och incidentrapportering för samhällsviktiga verksamheter.
10. Sammanfattning och nästa steg
DNS är internets nervsystem och ”telefonväxel” och därmed en kritisk del av din organisations säkerhetsstrategi. Genom att implementera säkerhetsåtgärder som DNSSEC, DoH/DoT och avancerad övervakning kan du kraftigt minska risken för cyberattacker.
Kontakta Cuebid för att stärka din DNS och hela din nätverksinfrastruktur. Vi erbjuder skräddarsydda lösningar och 24/7-övervakning för att skydda din organisation.
Läs mer på https://cuebid.se/security-operations/dns/
Fyll i formuläret så kontaktar vi dig så fort vi kan!
Vanligtvis inom 8 timmar (kontorstid).
