Software-Patches gegen DNS-Spoofing

DNS-Spoofing zählt zu den gefährlichen Angriffsarten im Internet. Dabei werden Benutzer auf falsche Web-Seiten umgeleitet, ohne etwas davon zu merken. So können ihnen Böswillige alle möglichen falschen Informationen unterschieben (siehe auch iX 8/97).

Derzeit sind laut Aussage der Sicherheitsfachleute der Aschheimer Firma Articon fast alle DNS-Server anfällig gegen derartige Manipulationen. Um diese Aktivitäten zu erschweren (ganz lassen sie sich nicht unterbinden), hat das Unternehmen zwei Patches für den weitverbreiteten Domain Name Service BIND entwickelt. Die Patches werden ab 6.11.97 über den Web-Server von Articon zur Verfügung gestellt (http://www.articon.de/dns-download.html).

Bei dem ersten Patch handelt es sich um einen Spoofing-Warner, der den Provider über verdächtige Vorgänge auf dem DNS-Server informiert, etwa wenn ein Paket mit einer IP-Nummer eintrifft, zu der es keine entsprechende Query-ID gibt. Dabei wird überprüft, ob es sich um ein harmloses Duplikat eines Antwortpaketes oder um einen Manipulationsversuch handelt. Auch der Absender des Paketes läßt sich ermitteln.

Der zweite Patch dient der Generierung von Zufallszahlen als Abfragenummer. DNS-Server wie BIND sind deshalb so anfällig, weil sich der Algorithmus zum Erzeugen der Query-IDs aus dem Source-Code, der frei verfügbar ist, entnehmen läßt. Der Patch modifiziert BIND 8.1.1.

Auch das CERT bietet entsprechende Informationen und Patches an: das CERT Advisory sowie neue BIND-Versionen: ftp://ftp.cert.dfn.de/pub/csir/cert/cert_advisories/CA-97.22.bind bzw. ftp://ftp.cert.dfn.de/pub/tools/net/bind/ (Jürgen Diercks[i]) [/i] (js)