DNS-Cache-Poisoning
DNS-Cache-Poisoning ist ein Angriff auf DNS-Server, dabei werden in den Cache des Servers falsche DNS-Einträge hinterlegt. Diese Informationen würden anschließend an die Clients (Benutzer) weitergegeben werden, wodurch diese auf falsche Seiten weiter geleitet werden.
Inhaltsverzeichnis
Ursprung
Für eine schnellere Abarbeitung der Anfragen von Clients setzen viele Server auf eine Cache. In diesem werden die Ergebnisse alter Abfragen zwischen gespeichert um so nicht jede Abfrage erneut ausführen zu müssen. Wird hier eine Adresse verändert wird diese ohne große Überprüfung an die Clients weitergegeben.
Methoden
DNS Forgery beschreibt den Angriff auf einen Server, bei dem ihm erst eine rekursive Anfrage geschickt wird. Dabei ist das Ziel vor den anderen Server bzw. dem zuständigen Server, dem angegriffenen Server eine gefälschte Antwort zu schicken.
Gegenmaßnahmen
Das DNS-Protokoll sieht für jede Anfrage eine Transaktions-ID vor, diese 16Bit Zahl wird zufällig gewählt. Um falsche Informationen zu hinterlegen muss diese ID erraten werden, im Durchschnitt benötigt man dafür 32768 Versuche. Die Wahl des UDP Ports ist auch für die Sicherheit wichtig, wird dieser zu selten gewechselt, kann er schnell angegriffen werden. Ein Allheilmittel ist derzeit nicht verfügbar, für diesen Zweck müsste das gesamte DNS-Protokoll überarbeitet werden.
Exploids
- CAU-EX-2008-0002 (Kaminsky DNS Cache Poisoning Flaw Exploit)
- CAU-EX-2008-0003 (Kaminsky DNS Cache Poisoning Flaw Exploit for Domains)
Links
- US-CERT VU#484649 (Microsoft Windows DNS Server vulnerable to cache poisoning)
- US-CERT VU#252735 (ISC BIND generates cryptographically weak DNS query IDs)
- US-CERT VU#927905 (BIND version 8 generates cryptographically weak DNS query identifiers)
- US-CERT VU#457875 (Various DNS service implementations generate multiple simultaneous queries for the same resource record)
- US-CERT VU#800113 (Multiple DNS implementations vulnerable to cache poisoning)
- 25c3 Videobeitrag
