78334

Angreifbare Name-Server

26.10.2005 | 15:05 Uhr |

Laut einer Studie ist ein großer Teil der Name-Server anfällig für Pharming-Angriffe.

Bereits seit Jahren orakeln Fachleute, der Domain Name Service (DNS) und die Server, die diesen Dienst anbieten, seien die Archilles-Ferse des Internets. Die kürzlich veröffentlichten Ergebnisse einer von Measurement Factory im Auftrag von Infoblox durchgeführten Studie scheinen dies zu bestätigen.

DNS ist sozusagen das Telefonbuch des Internets, ohne DNS geht im WWW kaum etwas. Auf der Ebene des Internet-Protokolls (IP) funktioniert die Kommunikation zwischen Computern über IP-Adressen (Beispiel: 123.123.123.123). Zu einer für den Menschen besser verständlichen Adresse wie "www.pcwelt.de" muss ein Web-Browser die passende IP-Adresse ermitteln.

Dazu befragt der Browser einen Name-Server, meist den des jeweiligen Internet-Providers. Dieser liefert die IP-Adresse zurück, falls er sie kennt. Andernfalls fragt er einen anderen Name-Server und speichert die Antwort für eine gewisse Zeit zwischen, falls nochmal jemand danach fragt.

Dieser so genannte DNS-Cache eines Name-Servers kann unter Umständen durch gezielte Fehlinformationen vergiftet werden (Cache-Poisoning). Durch veraltete Software und fehlerhafte Konfiguration kann ein Name-Server für Cache-Poisoning anfällig sein. Er liefert dann eine falsche IP-Adresse zurück, etwa die einer Phishing-Site statt der zur Website einer Bank gehörenden IP-Adresse.

In der Studie von Measurement Factory wurden 1,3 Millionen Name-Server durch gezielte Abfragen auf verschiedene Anfälligkeiten und Fehlkonfigurationen getestet. Nach Angaben der Forscher gibt es insgesamt schätzungsweise 7,5 Millionen Name-Server.

Die Forscher stellten fest, dass ungefähr 75 Prozent der getesteten Name-Server anfällig für Cache-Poisoning und DoS-Angriffe (Denial of Service) sind. Nur 57 Prozent der Name-Server setzen eine hinreichend sichere Version (9.x) der DNS-Software BIND (Berkeley Internet Name Domain) ein. Die Studie zeigt ferner, dass eine große Zahl von Name-Servern fehlerhaft konfiguriert ist, was sie ebenfalls für verschiedene Angriffe anfällig macht.

Die Ergebnisse bestätigen im Grundsatz die Befunde von Dan Kaminsky, der im August seine Ergebnisse einer artverwandten Untersuchung veröffentlichte ( wir berichteten ). Measurement Factory liefert zudem einige Tipps für die Betreiber von Name-Servern, wie sie ihre Rechner vor Angriffen schützen können. Weiterführende Information hat Cricket Liu von Infoblox , Autor von Standard-Werken zu DNS und BIND, zusammen gestellt.

0 Kommentare zu diesem Artikel
78334