DNS-Cache-Angriffe: Patches in Firmennetzen meist wirkungslos

Die von Dan Kaminsky gezeigte Attacke knackt einen DNS-Server in wenigen Sekunden. ZDNet erläutert diesen und andere Angriffe, zeigt, dass selbst neueste Patches keinerlei Schutz für Firmennetze bieten, und hilft bei der Lösung.

1983 entwickelte Paul Mockapetris das Domain Name System (DNS). Das wurde notwendig, weil das Internet rasant anwuchs und sich niemand mehr Knotennamen in Form einer IPv4-Adresse wie 110.64.51.187 merken konnte. Sechs Jahre vorher hatte das Internet noch recht übersichtlich ausgesehen. Bild 1 zeigt eine Karte, in der alle Rechner des Internets im Jahre 1977 eingezeichnet sind.

Auch im Jahr 1983 bestand der Internet-Vorgänger ARPANET nach der Abtrennung des MILNET offiziell nur aus 113 Rechnern. Die National Science Foundation (NSF) finanzierte jedoch amerikanischen Universitäten einen Zugang zu damaligen Supercomputern, die sich vor allem an Universitäten mit ARPANET-Anschluss befanden. Dazu realisierte die NSF das CSNET (später NSFNET) mit TCP/IP-Protokoll und bezahlte X.25-Anschlüsse für Universitäten, die keine eigenen Supercomputer besaßen.

Diese Verbindung von mehreren TCP/IP-Netzen nannte man Internet. Da im Endeffekt alle TCP/IP-Netze miteinander verbunden waren, konnte jeder Rechner erreicht werden. Damit keine IP-Adresskonflikte auftraten, fragten die Netzbetreiber einfach den Verwalter der RFC-Dokumente, Jon Postel, welche IP-Adressen sie verwenden sollten.

Als Jon Postels Liste immer größer wurde, erkannte er frühzeitig, dass IP-Nummern auf Dauer keine Lösung für eine Benennung von Netzknoten sein konnten, und beauftrage Paul Mockapetris mit einer Lösung. Zum einen sollte die Unabhängigkeit der einzelnen Netze gewahrt bleiben, zum anderen konnte er keine zentrale Verwaltung für jeden Knoten aufbauen, da er keine Mitarbeiter hatte.

So entstand die verteilte Datenbank DNS. Postel konnte ganze IP-Adressbereiche an den Verwalter eines Netzes vergeben. Ebenso delegierte er einen Namen, eine sogenannte Domain, an den Netzverwalter. Innerhalb eines Netzes konnte der Verwalter die Namen frei verteilen. Dieses System der dezentralen Verwaltung ermöglichte ihm, die IANA lange Jahre als Ein-Mann-Unternehmen zu führen. Er leitete die IANA bis zu seinem Tod 1998. Zu diesem Zeitpunkt hatte er weniger als zehn Mitarbeiter.

DNS funktionierte, allen Unkenrufen zum Trotz, prächtig. Ein dezentrales weltweites Datennetz, das von einer „One-Man-Show“ verwaltet wird, hielt man damals für unmöglich. Jon Postel und Paul Mockapetris zeigten, dass es trotzdem geht, was vielen Leuten beim CCITT (heute ITU-T) nicht gefiel.

Damit die verteilte Datenbank DNS funktioniert, gibt es mehrere Root-Server. Deren Namen und IP-Adressen muss jeder DNS-Server kennen. Diese Information, siehe Bild 2, erhält ein DNS-Server über eine Konfigurationsdatei. Diese Datei ändert sich nur äußerst selten, so dass DNS-Betreiber sich keine Sorgen um ihre Aktualität machen müssen. Neue Versionen kommen über den Update-Service des Betriebssystems.

Die Root-Server wissen nur recht wenig über das Internet. Fragt man einen der Root-Server nach www.example.com, so antwortet er in natürliche Sprache übersetzt wie ein deutscher Beamter mit „Das weiß ich nicht, dafür bin ich nicht zuständig“. Allerdings gibt er als weitere Information eine Liste mit DNS-Servern und deren IP-Adressen heraus, die für alle Domains, die mit .com enden. zuständig sind.

Doch auch die für .com verantwortlichen Server antworten nur, dass für die Domain .example.com andere Server zuständig sind. Erst diese Server beantworten die Frage des geduldigen Clients mit: „Die IP-Adresse von www.example.com ist 192.0.34.43“.

Themenseiten: Hacker, Security-Praxis

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu DNS-Cache-Angriffe: Patches in Firmennetzen meist wirkungslos

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *