Wenn der DNS-Server des eigenen Netzes bei jeder Anfrage über die Root-Server gegangen wäre, hätte das 1983 zu einem sofortigen Zusammenbruch des Leitungsnetzes geführt. Heutzutage würde das lediglich eine erhebliche Mehrlast des Verkehrs bedeuten. Ebenso müssten extrem leistungsfähige Rechner für Root-Zone und große Top-Level-Zonen, etwa .com, .cn und .de, bereitgestellt werden.
Aus diesem Grund wurde DNS mit einem Caching-Protokoll ausgestattet, das dafür sorgt, dass immer wiederkehrende Anfragen, beispielsweise nach www.google.de, nicht jedes Mal neu über die Root-Server angefragt werden. Die Dauer, wie lange ein Eintrag im Cache verbleiben darf, bestimmt der für Zone zuständige DNS-Server, indem er zu jeder Antwort einen Time-to-live-Wert (TTL) übermittelt.
Dieser TTL-Wert kann sehr lang sein, beispielsweise für die Root- und Top-Level-Server. Die IP-Adressen der Root-Server haben eine TTL von 1000 Stunden oder mehr als 41 Tagen. Ein DNS-Server, der die IP-Adresse eines Root-Servers abgefragt hat, wird daher in den nächsten 41 Tagen keine erneute Anfrage stellen, sondern seinen Clients aus dem Cache antworten. Die Clients erhalten dabei die "Restlaufzeit" des Caches als TTL, so dass auch sie nicht immer wieder ihren DNS-Server befragen müssen.
Meist ist die TTL wesentlich geringer als 41 Tage. Domains unterhalb der .com-Zone werden beispielsweise 48 Stunden gecacht. Wird eine Domain zu einem anderen Provider umgezogen oder ein Inhaberwechsel durchgeführt, so liefern DNS-Server bis zu 48 Stunden lang noch die alten und damit meist falschen Antworten aus dem Cache.
Anbieter von dynamischen DNS-Diensten, die oft von DSL-Anschlussinhabern genutzt werden, verwenden meist eine TTL von 60 Sekunden. Ein solcher Wert wäre für eine häufig angefragte Domain zu gering. Da jedoch Domains wie www.Erika-Musterfrau.dyndns.org nicht besonders häufig aufgerufen werden, kommt es zu keiner großen Belastung der Bandbreite. Dafür ist die Domain nach dem täglichen Adresswechsel innerhalb von einer Minute wieder erreichbar.
Da das DNS-Protokoll über wenig Security und keinerlei Verschlüsselung verfügt, liegt es nahe, Angriffe auf den Cache vorzunehmen. Schiebt man einem DNS-Server eine falsche Antwort unter, so wird er diese falsche Antwort den Clients weiterleiten. Wie lange er das macht, bestimmt der Angreifer, indem er dem DNS-Server eine falsche TTL übermittelt.
Bildergalerie
- DNS-Cache-Angriffe: Patches in Firmennetzen meist wirkungslos
- DNS-Caching: weniger Traffic und weniger Sicherheit
- Angriff über die Additional Section: kein Problem für jeden Hacker
- Die Kaminsky-Attacke: etwas komplizierter, aber machbar
- Aktuelle Patches: für Firmennetze völlig untauglich
- Abwehrstrategien richtig planen und implementieren
- Fazit
Neueste Kommentare
Noch keine Kommentare zu DNS-Cache-Angriffe: Patches in Firmennetzen meist wirkungslos
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.