Die einfachste Form eines Angriffs ist die Nutzung von sogenannten Additional-Records. DNS-Server geben in einigen Fällen Antworten auf Fragen, die man ihnen gar nicht gestellt hat. Die korrekte Antwort auf die Frage "Welche DNS-Server sind zuständig für example.com?" lautet "Zuständig für example.com sind a.iana-servers.net oder b.iana-servers.net". Da sich ein DNS-Server jedoch "denken" kann, dass die nächste Frage des Clients lautet: "Wie sind die IP-Adressen von a.iana-servers.net und b.iana-servers.net?", liefert er die Antwort darauf gleich mit, siehe Bild 3.
Ältere Versionen von DNS-Servern cachen auch Antworten auf Fragen, die niemals gestellt wurden. Dazu gehören unter anderem die Microsoft-DNS-Server bis Windows NT 4.0 und Windows 2000. Ab Windows 2003 ist die Option "Secure against cache pollution" standardmäßig gesetzt, siehe Bild 4.
Ein Angreifer, der weiß, dass am Arbeitsplatz noch Server-Versionen vor Windows 2003 eingesetzt werden und dessen Administrator die Hinweise von Microsoft möglicherweise nicht beachtet hat, kann eine sehr einfache Attacke ausführen, die dazu führt, dass bestimmte Adressen zu einem Server seiner Wahl umgeleitet werden.
Dazu muss er lediglich eine Domain registrieren. Es reicht eine kostenlose Third-Level-Domain, für die man eigene DNS-Server konfigurieren kann, wie das beispielsweise DtDns.com anbietet, siehe Bild 5. Dabei leitet man beide DNS-Einträge auf eigene DNS-Server um, die man so modifiziert hat, dass sie grundsätzlich in der Additional Section "www.google.de. 86400 IN A 1.2.3.4" zurückliefern, siehe Bild 6. Daraufhin wird ein alter Server für 24 Stunden (86.400 Sekunden) jede Anfrage für www.google.de mit der IP-Adresse 1.2.3.4 beantworten.
Der Angreifer muss nur von seinem Arbeitsplatz einmal seine eigene Domain abfragen, etwa mit dem Kommandozeilen-Befehl "Ping meine.kostenlose-domain.example.com", schon ist der Cache eines DNS-Servers verseucht. Werden im Intranet mehrere DNS-Server verwendet, so kann er unter Windows und Unix nsloopkup verwenden, um alle DNS-Server zu verseuchen. Aktuelle Unix-Derivate bieten zusätzlich die moderneren Tools dig und host, die man sich auch für Windows downloaden kann.
Bei einem Open-Source-DNS-Server wie Bind muss der Angreifer lediglich ein paar Zeilen Code ändern und das Programm neu kompilieren, damit gefälschte Antworten wie in Bild 6 gesendet werden. Bind kann für Windows und Unix kompiliert werden. Der gefälschte DNS-Server kann zuhause stehen, wenn man TCP- und UDP-Port 53 per NAT weiterleitet.
Bildergalerie
- DNS-Cache-Angriffe: Patches in Firmennetzen meist wirkungslos
- DNS-Caching: weniger Traffic und weniger Sicherheit
- Angriff über die Additional Section: kein Problem für jeden Hacker
- Die Kaminsky-Attacke: etwas komplizierter, aber machbar
- Aktuelle Patches: für Firmennetze völlig untauglich
- Abwehrstrategien richtig planen und implementieren
- Fazit
Neueste Kommentare
Noch keine Kommentare zu DNS-Cache-Angriffe: Patches in Firmennetzen meist wirkungslos
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.