DNS-Cache-Angriffe: Patches in Firmennetzen meist wirkungslos

DNS als historisch gewachsene, verteilte Datenbank ohne ernsthafte Sicherheitsfeatures führt naturgemäß zu Problemen. Ohne DNS hätte allerdings das Internet in seinen Anfängen nicht so schnell wachsen können. Die damalige Administration des Vorläufers ARPANET war darauf angewiesen, dass jeder seinen kleinen Teil des großen Internet selbst verwalten kann.

Größter Angriffspunkt ist das DNS-Caching. Gelingt es, den Cache zu verseuchen, geben DNS-Server, denen man vertraut, über einen Zeitraum von Stunden und Tagen falsche Antworten. Dies können Phisher nutzen, um Anwender von jedem Phishing-Filter unbemerkt auf falsche Websites zu locken.

Sehr gefährlich ist die Kaminsky-Attacke. Aktuelle Versionen aller relevanten DNS-Server sind gegen diesen Angriff gesichert, in dem die Wahrscheinlichkeit eines Erfolges von etwa eins zu 65.000 auf unter eins zu vier Milliarden gesenkt wird.

Insbesondere für Firmenanwender reicht es nicht aus, einen DNS-Server auf den aktuellen Stand zu bringen. Enterprise-NAT-Router reduzieren den Nutzen des Patches gegen die Kaminsky-Attacke erheblich. Consumer-NAT-Router haben dieses Problem nicht.

Bis zur Entdeckung der nächsten Angriffsmöglichkeit können sich Betreiber von Intranet-DNS-Servern gut schützen, indem sie Forwarding einsetzen. Einen hundertprozentigen Schutz gibt es allerdings nicht. Die Wahrscheinlichkeit eines erfolgreichen Angriffs ist jedoch sehr gering.