Gefahr durch Anycasting: Root-Server antworten falsch

Grundsätzlich kann jeder Internetprovider, der selbst Autonomes System (AS) ist, den Verkehr von und zu einer bestimmten IP-Adresse umleiten und Manipulationen vornehmen. Bei Unicast-Adressen fällt das allerdings im Peering recht schnell auf, wenn man einmal davon ausgeht, dass die großen Tier-1- und Tier-2-Provider grundsätzlich gegen IP-Spoofing vorgehen.

Wenn ein AS allerdings absichtlich Fälschungen in Zusammenarbeit mit einer Regierung vornimmt, ist es schwierig das zu entdecken. Das gilt insbesondere für Anycast-Adressen. Das IP-Spoofing wird nicht erkannt, weil es ganz normal ist, dass etwa eine IP-Adresse, die in Schweden registriert ist, von Servern auf der ganzen Welt verwendet wird.

Der Betreiber eines rekursiven DNS-Servers, etwa ein großer Provider für Privatkunden auf einem anderen Kontinent, wird keinen Verdacht schöpfen, wenn er Pakete bekommt, die von der offiziellen IP-Adresse des I-Root-Servers stammen. Er kann in der Regel nur erkennen, dass sie von seinem Tier-1-Carrier beim Austauschknoten angeliefert wurden.

Die Fälschung erkennt der Betreiber nur, wenn er den Inhalt untersucht. Dann ist es offensichtlich, dass ein Root-Server direkt eine Adresse wie www.example.com aufgelöst hat. Außerdem kann er mit einem Traceroute erkennen, dass die Adresse über China geroutet wird, was aber nicht grundsätzlich verdächtig ist, schließlich steht eine offizielle Instanz des I-Root-Servers dort.

Generell ist es für einen Industriespion, der mit Hilfe eines Staates an Informationen kommen will, keine gute Idee, grundsätzlich falsche Informationen über einen DNS-Server zu verteilen. Eine Manipulation die große Teile eines Kontinents betrifft, dürfte schnell auffallen. Allerdings ist es möglich, gezielt einzelne Firmen zu treffen, ohne dabei entdeckt zu werden. Dazu muss der Spion selektiv die IP-Adressen der Firmen, die er ausspionieren möchte, herausfiltern, und nur an diese falsche DNS-Informationen liefern.

Auch ist es keine gute Idee, für einen gezielten Angriff IP-Adressen von Websites wie Facebook oder Twitter zu fälschen. Es fällt weniger auf, eine Site zu manipulieren, die von der betroffenen Firma häufig besucht wird, etwa die Extranet-Website eines Geschäftspartners. Dazu muss sich der Angreifer natürlich ein SSL-Zertifikat beschaffen, das auf die Website ausgestellt ist und das von den gängigen Browsern akzeptiert wird. Einem Staat dürfte die Beschaffung eines solchen Zertifikats jedoch leicht möglich sein.

Gegen Manipulationen von DNS-Servern kann nur DNSSEC helfen. Damit wird verhindert, dass ein Angreifer gefälschte, aber korrekt signierte Antworten liefern kann. Damit DNSSEC praktikabel funktioniert, muss es jedoch weltweit in der gesamten Domainhierarchie implementiert sein. Das wird aber noch viele Jahre dauern. Bisher existieren nur einzelne "Vertrauensinseln", deren Trust-Anchors man sich jeweils einzeln beschaffen muss.