Eine Untersuchung der Sicherheit der DNS-Namensauflösung von Webapplikationen

Masterarbeit, Fachhochschule St. Pölten, Masterstudiengang Information Security, 2020

Das „Domain Name System“ (DNS) stellt nicht nur für Endbenutzer/innen, sondern auch für Server ein Sicherheitsrisiko dar. Wenn Webapplikationen versuchen, URLs für Passwortrücksetzungen via E-Mail an Applikationsnutzer/innen zu senden, kann diese Übermittlung mittels DNS-Angriffen an einen Angreifer gelenkt werden. Dadurch ist es einem Angreifer möglich, Applikationsnutzer/innen zu übernehmen. Dieses Konzept wurde von Dan Kaminsky bereits im Jahr 2008 vorgestellt. Erste Analysen deuteten jedoch darauf hin, dass solche Angriffe teilweise auch bei heutigen Webapplikationen möglich sind. Aus diesem Grund wurde die DNS-Namensauflösung von 146 Webapplikationen im Internet auf Schwachstellen analysiert. Ziel dieser Arbeit war es demnach, herauszufinden, ob Webapplikationen über Schwachstellen in deren DNS-Namensauflösung verfügen und inwiefern diese angreifbar sind. Konkret wurden folgende Forschungsfragen gestellt: Wie sicher ist die DNS-Namensauflösung von Webapplikationen im Internet? Wie können DNS-Resolver, die nicht aus dem Internet erreichbar sind, angegriffen werden? Zur Beantwortung dieser Fragen wurden bisherige DNS-Angriffe analysiert, und die DNS-Namensauflösung von Webapplikationen anhand der Voraussetzungen dieser Angriffe überprüft. Dabei wurden Hilfsmittel wie ein DNS-Proxy verwendet, mit dem DNS-Nachrichten manipuliert sowie untersucht werden können. Weiters wurde auf aktive sowie passive Analysemethoden zum Testen von Angriffsvoraussetzungen eingegangen. Aus diesen Analysen hat sich ergeben, dass mehrere der 146 überprüften Webapplikationen gegenüber Kaminsky-Angriffen verwundbar sind. Weiters können viele der Webapplikationen unter bestimmten Voraussetzungen mit IP-Fragmentierungs-Angriffen attackiert werden.

The Domain Name System (DNS) represents a security risk not only for end users but also for servers. If web applications try to send URLs for password resets via e-mail to application users, this transmission can be redirected to an attacker by means of DNS attacks. This enables an attacker to take over application users. This concept was already presented by Dan Kaminsky in 2008. However, first analyses indicated that such attacks are partly possible with today's web applications. For this reason, the DNS name resolution of 146 web applications on the Internet was analyzed for vulnerabilities. The aim of this work was to find out whether web applications have weaknesses in their DNS name resolution and to what extent they are vulnerable to attacks. In concrete terms, the following research questions were analysed: How secure is the DNS name resolution of web applications on the Internet? How can DNS resolvers that are not accessible from the Internet be attacked? To answer these questions, previous DNS attacks were analysed and the DNS name resolution of web applications was checked against the prerequisites of these attacks. Tools such as a DNS proxy were used to manipulate and examine DNS messages. Furthermore, active and passive analysis methods for testing the prerequisites of attacks were presented. These analyses revealed that several out of 146 of the web applications examined are vulnerable to Kaminsky attacks. Furthermore, under certain conditions, lots of the web applications can be attacked with IP fragmentation attacks.

application/pdf