DNS-Experten diskutieren Risiken neuer Angriffsszenarien

Forscher beschreiben Angriffsszenarien auf das Domain Name System, bei dem die Fragmentierung von IP-Paketen ausgenutzt wird.

In Pocket speichern vorlesen Druckansicht 6 Kommentare lesen
Lesezeit: 3 Min.
Von
  • Monika Ermert

Forscher in Israel und Frankreich warnen vor verschiedenen neuen Angriffsszenarien im Domain Name System (DNS). Dabei wird die Fragmentierung von IP-Paketen ausgenutzt. Die verkürzten IP-IDs lassen sich leichter raten und der Vorteil zuvor eingeführter Zufallszahlen, die das Raten erschweren sollten, wird wieder aufgehoben. Die von Amir Herzberg and Haya Shulman beschriebenen Angriffe wurden inzwischen von von Forschern des cz.nic Lab und VeriSign erfolgreich im Labor erprobt.

Bei einer auf dem RIPE gezeigten Demo gelang es Tomas Hlavacek von cz.nic, im Handumdrehen den Cache eines Servers mit falschen Adressdaten für seine Inhalte zu füttern. Ausgetestet wurden zunächst BIND-Server, Produkte des BIND-Konkurrenten NSD sollen im nächsten Schritt überprüft werden.

Fragmentierte Pakete ermöglichen es dem Angreifer, das zweite IP-Adresspaket mit eigenen falschen Daten versehen zu schicken. Erleichtert wird das Fälschen, weil für das Fragment nur noch 16 Bit statt 32 Bit oder sogar weniger "erraten" werden müssen. Um die Fragmentierung kümmern sich die Angreifer vorab gleich noch selbst.

In freier Wildbahn spielten die Amir-Herzberg-Attacken bislang noch keine Rolle. Der Eintrag falscher Daten in Caches per Spoofing wird durch die nach wie vor zahlreich vorhandenen offenen Resolver erleichtert – BCP 38 ist auch nach 15 Jahren nach wie vor nicht überall umgesetzt. Insbesondere müssen bei der Kombination initiierter Fragmentierung und Korrumpieren der zweiten Adressfragmente fix sein. Denn irgendwann kommt auch das korrekte zweite Paket an, es sei denn, auch das wird noch eigens unterbunden.

Für noch tückischer halten manche einen von Forschern der französischen Netzsicherheitsbehörde (ANSSI) beschriebenen Angriff, der sich zusätzlich zur IP-Fragmentierung auch noch das Rate Response Limiting zunutze macht. RRL wird zunehmend als Abwehr gegen Angriffe auf DNS-Server eingesetzt. Bei den neuen Attacken wird es gezielt mit einkalkuliert, da es das Senden korrekter Antworten verzögert oder sogar verhindert. Eigentlich also als Waffe gegen massive DDoS-Attacken vorgesehen, spielt RRL den Angreifern in die Hände: Es ermöglicht es den Angreifern in aller Ruhe, Teil zwei der Antworten zu fälschen.

Die eingeschleuste falsche Information kann in letzter Konsequenz dafür sorgen, das der korrekte Nameserver für eine Domain nicht mehr gefunden wird. Über weitere Gefahren auch für die autoritativen Server wird nun diskutiert, ebenso wie darüber, dass einmal mehr DNS-Methoden gegen das DNS selbst eingesetzt werden. Auch für die "Amplification-Reflection-Attacken", für die auf die immer besser bestückten DNS-Server zurückgegriffen wird, hatten die Experten darauf schon mit Sorge hingewiesen.

Einmal mehr predigten die beim RIPE vertretenen Administratoren die Umsetzung von BCP 38, DNSSEC und IPv6. BCP 38 verhindert das Spoofen von Adressen, DNSSEC sichert die Authentizität der DNS-Antworten ab, IPv6 macht den Fragmentierungsattacken dadurch den Garaus, dass es die IP-Id-Länge wieder verdoppelt. Dazu müssten die neueren umgesetzt werden. (anw)