3
DNS Informationen zur Sicherheit und Angriffspunkten
Hallo zusammen, ich würde mich gerne mal etwas genauer mit DNS auseinandersetzen.
Natürlich wird jeder erstmal sagen "google doch!".... dies habe ich bereits getan, jedoch sind mir die Ergebnisse etwas zu speziell bzw. nicht ausreichend beschrieben.
Bspw. würde ich gerne erfahren welche Angriffspunkte DNS bietet um bspw. eine DNS-Anfrage zu verfälschen.
Ebenfalls würde ich dazu gerne wissen, welche technsichen Möglichkeiten gegeben sind, DNS-Server oder auch -Anfragen abzusichern.
Gibt es weitere Angriffspunkte ausser DNS-Spoofing??
Vielen Dank im Voraus.
Natürlich wird jeder erstmal sagen "google doch!".... dies habe ich bereits getan, jedoch sind mir die Ergebnisse etwas zu speziell bzw. nicht ausreichend beschrieben.
Bspw. würde ich gerne erfahren welche Angriffspunkte DNS bietet um bspw. eine DNS-Anfrage zu verfälschen.
Ebenfalls würde ich dazu gerne wissen, welche technsichen Möglichkeiten gegeben sind, DNS-Server oder auch -Anfragen abzusichern.
Gibt es weitere Angriffspunkte ausser DNS-Spoofing??
Vielen Dank im Voraus.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 222484
Url: https://administrator.de/contentid/222484
Printed on: April 19, 2024 at 02:04 o'clock
3 Comments
Latest comment
Hallo,
folgendes als Ansatzpunkte:
- Cache-Poisoning um Clients auf die falsche IP-Adresse zu leiten
- DNS = Klartext, fälschbar on-the-wire
- DNS als Nachschlagewerk für Netzstruktur
- DNS als Angriffspunkt und Verstärker für DoS
teilweise vermeidbar durch DNSSEC
Gruß
Andi
folgendes als Ansatzpunkte:
- Cache-Poisoning um Clients auf die falsche IP-Adresse zu leiten
- DNS = Klartext, fälschbar on-the-wire
- DNS als Nachschlagewerk für Netzstruktur
- DNS als Angriffspunkt und Verstärker für DoS
teilweise vermeidbar durch DNSSEC
Gruß
Andi
1
Wenn man beim Client das HOSTS file bearbeitet kann man auch DNS "umgehen", da der client in bestimmter Reihenfolge Namen auflöst
(ohne gewähr auf vollständigkeit u. richtigkeit.. bevor mir die klug###r aufmucken um ihre korrekturposts abzusondern.. har har)
1. Im lokalen dns cache guggen (guggst du ipconfig /displaydns )
2. lmhost file auf eintrag prüfen
3. host file auf eintrag prüfen
4. dns server fragen
Wenn man also in die lokale Hosts-Datei z. B reinschreibt
www.postbank.de 10.20.30.40
Kann man dem client einen anderen Server vorgaukeln (wobei die Zertifikatswarnmeldung die fälschung nochmal erschwert wenn man per https zugreift)
Kenne niemand der DNSSEC einsetzt, aber hab da mal was drüber gelesen.
(ohne gewähr auf vollständigkeit u. richtigkeit.. bevor mir die klug###r aufmucken um ihre korrekturposts abzusondern.. har har)
1. Im lokalen dns cache guggen (guggst du ipconfig /displaydns )
2. lmhost file auf eintrag prüfen
3. host file auf eintrag prüfen
4. dns server fragen
Wenn man also in die lokale Hosts-Datei z. B reinschreibt
www.postbank.de 10.20.30.40
Kann man dem client einen anderen Server vorgaukeln (wobei die Zertifikatswarnmeldung die fälschung nochmal erschwert wenn man per https zugreift)
Kenne niemand der DNSSEC einsetzt, aber hab da mal was drüber gelesen.
1
Zitat von @spacyfreak:
Wenn man also in die lokale Hosts-Datei z. B reinschreibt
www.postbank.de 10.20.30.40
Kann man dem client einen anderen Server vorgaukeln (wobei die Zertifikatswarnmeldung die fälschung nochmal erschwert wenn
man per https zugreift)
Wenn man also in die lokale Hosts-Datei z. B reinschreibt
www.postbank.de 10.20.30.40
Kann man dem client einen anderen Server vorgaukeln (wobei die Zertifikatswarnmeldung die fälschung nochmal erschwert wenn
man per https zugreift)
Auch nicht - denn wenn ich dem Client schon seine HOSTS-Datei manipulieren kann, kann ich ihm auch direkt mein eigenes CA-Zertifikat unterschieben und damit alles ohne Warnungen signieren bis der Arzt kommt. Es wird zwar kein EV-Zertifikat angezeigt (grüne Leiste) sondern nur eine normale SSL-Verbindung, aber den meisten Leuten ist das ohnehin egal, hauptsache ein Schloss-Symbol...
Kenne niemand der DNSSEC einsetzt, aber hab da mal was drüber gelesen.
Ich kenne eine ganze Menge, kleine Auswahl:
paypal.com
ripe.net
bund.de
verisign.com
nasa.gov
Zusätzlich ist die gesamte .de-Rootzone signiert, wenn man also direkt die .de-Rootserver fragt erhält man bei jeder .de-Domain eine signierte Antwort.
@Peronas:
Ein Angriffspunkt sind noch - obwohl es nur bedingt mit DNS zu tun hat - die Unicode-Domains, in denen auch nichtlateinische Zeichen vorkommen dürfen.
Der Angriffsvektor ist hier, dass sich manche Zeichen zwar ähnlich sehen, aber halt eben unterschiedliche Zeichen sind.
Es gibt dann zum Beispiel die Domain Deutsche-Bank.com oder (mit kyrillischem "Ve", was aussieht wie ein lateinisches "B") Deutsche-Вank.com.
Die Browser stellen aus diesem Grund URLs mit Unicode-Zeichen immer als Punycode dar, um halt darauf aufmerksam zu machen - aber es reicht mir ja im Zweifelsfalle wenn jemand die URLs für vertrauenswürdig genug hält um draufzuklicken - und bis er den Punycode in der Adressleiste bemerkt habe ich ihm schon eine bunte Auswahl an diversen Trojanern installiert.
Wenn du die zweite Domain herauskopierst und aufrufst, wirst du das in der URL-Leiste bemerken
Ansonsten ist eigentlich schon alles gesagt worden, Stichworte zum Googeln sind hier "Cache Poisoning" und "DNS Amplification".
1
