Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

DNS Informationen zur Sicherheit und Angriffspunkten

Frage Netzwerke DNS

Mitglied: Peronas

Peronas (Level 1) - Jetzt verbinden

20.11.2013 um 10:49 Uhr, 1776 Aufrufe, 3 Kommentare, 3 Danke

Hallo zusammen, ich würde mich gerne mal etwas genauer mit DNS auseinandersetzen.

Natürlich wird jeder erstmal sagen "google doch!".... dies habe ich bereits getan, jedoch sind mir die Ergebnisse etwas zu speziell bzw. nicht ausreichend beschrieben.

Bspw. würde ich gerne erfahren welche Angriffspunkte DNS bietet um bspw. eine DNS-Anfrage zu verfälschen.
Ebenfalls würde ich dazu gerne wissen, welche technsichen Möglichkeiten gegeben sind, DNS-Server oder auch -Anfragen abzusichern.

Gibt es weitere Angriffspunkte ausser DNS-Spoofing??

Vielen Dank im Voraus.
Mitglied: AndiEoh
20.11.2013 um 13:08 Uhr
Hallo,

folgendes als Ansatzpunkte:

- Cache-Poisoning um Clients auf die falsche IP-Adresse zu leiten

- DNS = Klartext, fälschbar on-the-wire

- DNS als Nachschlagewerk für Netzstruktur

- DNS als Angriffspunkt und Verstärker für DoS

teilweise vermeidbar durch DNSSEC

Gruß

Andi
Bitte warten ..
Mitglied: spacyfreak
20.11.2013, aktualisiert um 13:41 Uhr
Wenn man beim Client das HOSTS file bearbeitet kann man auch DNS "umgehen", da der client in bestimmter Reihenfolge Namen auflöst
(ohne gewähr auf vollständigkeit u. richtigkeit.. bevor mir die klug###r aufmucken um ihre korrekturposts abzusondern.. har har)

1. Im lokalen dns cache guggen (guggst du ipconfig /displaydns )
2. lmhost file auf eintrag prüfen
3. host file auf eintrag prüfen
4. dns server fragen


Wenn man also in die lokale Hosts-Datei z. B reinschreibt

www.postbank.de 10.20.30.40

Kann man dem client einen anderen Server vorgaukeln (wobei die Zertifikatswarnmeldung die fälschung nochmal erschwert wenn man per https zugreift)

Kenne niemand der DNSSEC einsetzt, aber hab da mal was drüber gelesen.
Bitte warten ..
Mitglied: LordGurke
20.11.2013 um 20:51 Uhr
Zitat von spacyfreak:
Wenn man also in die lokale Hosts-Datei z. B reinschreibt

www.postbank.de 10.20.30.40

Kann man dem client einen anderen Server vorgaukeln (wobei die Zertifikatswarnmeldung die fälschung nochmal erschwert wenn
man per https zugreift)

Auch nicht - denn wenn ich dem Client schon seine HOSTS-Datei manipulieren kann, kann ich ihm auch direkt mein eigenes CA-Zertifikat unterschieben und damit alles ohne Warnungen signieren bis der Arzt kommt. Es wird zwar kein EV-Zertifikat angezeigt (grüne Leiste) sondern nur eine normale SSL-Verbindung, aber den meisten Leuten ist das ohnehin egal, hauptsache ein Schloss-Symbol...


Kenne niemand der DNSSEC einsetzt, aber hab da mal was drüber gelesen.

Ich kenne eine ganze Menge, kleine Auswahl:

paypal.com
ripe.net
bund.de
verisign.com
nasa.gov

Zusätzlich ist die gesamte .de-Rootzone signiert, wenn man also direkt die .de-Rootserver fragt erhält man bei jeder .de-Domain eine signierte Antwort.



@Peronas:
Ein Angriffspunkt sind noch - obwohl es nur bedingt mit DNS zu tun hat - die Unicode-Domains, in denen auch nichtlateinische Zeichen vorkommen dürfen.
Der Angriffsvektor ist hier, dass sich manche Zeichen zwar ähnlich sehen, aber halt eben unterschiedliche Zeichen sind.

Es gibt dann zum Beispiel die Domain Deutsche-Bank.com oder (mit kyrillischem "Ve", was aussieht wie ein lateinisches "B") Deutsche-Вank.com.
Die Browser stellen aus diesem Grund URLs mit Unicode-Zeichen immer als Punycode dar, um halt darauf aufmerksam zu machen - aber es reicht mir ja im Zweifelsfalle wenn jemand die URLs für vertrauenswürdig genug hält um draufzuklicken - und bis er den Punycode in der Adressleiste bemerkt habe ich ihm schon eine bunte Auswahl an diversen Trojanern installiert.
Wenn du die zweite Domain herauskopierst und aufrufst, wirst du das in der URL-Leiste bemerken


Ansonsten ist eigentlich schon alles gesagt worden, Stichworte zum Googeln sind hier "Cache Poisoning" und "DNS Amplification".
Bitte warten ..
Neuester Wissensbeitrag
DSL, VDSL

Telekom blockiert immer noch den Port 7547 in ihrem Netz

(3)

Erfahrungsbericht von joachim57 zum Thema DSL, VDSL ...

Ähnliche Inhalte
Exchange Server
DNS Einstellung - zwei feste IPs für Mailserver (15)

Frage von ivan0s zum Thema Exchange Server ...

DNS
gelöst DNS Weiterleitung ohne www (4)

Frage von simonsays zum Thema DNS ...

Windows Netzwerk
gelöst DNS - Weiterleitung zu DNS-Server in anderer Domain (5)

Frage von Schauer zum Thema Windows Netzwerk ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (34)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...