DNS

Question 1

Wie sieht DNS cache poisoning aus, wie läuft die Attacke ab?

Answer 1

Question 2

Was ist DNS? Was wird damit erreicht

Answer 2

Verteilte Datenbank bestehend aus einer Vielzahl von Servern. Wird genutzt für Übersetzung von Hostnamen in IP Adressen

Question 3

DNS Lookup erklären von Root Zone bis zu Uni HH

Answer 3

Question 4

Dann die unterschiedlichen Server erklären also Autoritativ, Caching, Root Nameserver, Resolver
Welche Teile sind rekursiv und welche iterativ ?

Answer 4

Authorirative Server
- Server, der den authoritativen Inhalt einer kompletten DNS-Zone verwaltet
- Top-Level-Domain (TLD)-Server und Autorisierungsserver für die Domänen der Organisation
- Verweis auf die übergeordnete Zone als autoritativ
- Möglicher Lastausgleich: Master/Slaves

Iterativ (Caching) Server
- Lokaler Proxy für DNS-Anfragen
- Zwischenspeicherung von Inhalten für einen bestimmten Zeitraum (Soft-State mit TTL)
- Wenn die Daten nicht im Cache vorhanden sind, wird die Anfrage rekursiv bearbeitet

Resolver
- Software auf den Rechnern der Kunden (Teil des Betriebssystems)
- Windows-* und *nix: Stub-Resolver
- Delegieren die Anfrage an den lokalen Server
- Nur rekursive Anfragen, keine Unterstützung für iterative Anfragen

Question 5

Zusätzlich zu den unterschiedlichen Servern dazu wie die Kette zwischen den Servern aufgebaut ist nochmal im Detail erklären

Answer 5

Question 6

Welche Sicherheitsziele werden bei DNS erfüllt und welche werden nicht erfüllt ganz genau erklären wodurch oder wodurch nicht

Answer 6

Bedrohungen sind Denial of Service, Data Authenticity/Integrity
Erfüllt wird die Verfügbarkeit

Question 7

Was ist DNSSEC und wie ist die gesamte Trust-Chain so aufgebaut, wo kommen die Schlüssel her und was bringt das alles in Bezug auf die Sicherheitsziele

Answer 7

Reihe von Internetstandards um Sicherheitsmechanismen zur Gewährleistung der Authentizität und Integrität der Daten erweitern.

RRSets (Gruppen von RRs) werden mit dem privaten Schlüssel der autorisierenden Stellen signiert
- Öffentliche Schlüssel (DNSKEYs) werden über DNS veröffentlicht
- Die Schlüssel der Unterzonen werden von den Eltern authentifiziert (entsprechend der Zonenhierarchie) und so verankerte Vertrauensketten aufgebaut
- Nur der Signierschlüssel der Root-Zone (KSK) wird benötigt (manuelle Verteilung), um eine vollständige Vertrauenshierarchie zu schaffen (theoretisch)

Was bringt das?
Ende-zu-Ende-Authentifizierung der Herkunft und Integrität von Zonendaten
- Erkennung von Datenverfälschung und Spoofing

Question 8

Brute Force Cache Poisoning erklären

Answer 8

1. A sendet viele Anfragen für die Ziel-Domain an den lokalen DNS-Server von O.
2. A sendet viele gefälschte Antworten mit IP und Port vom Authentifizierungsserver der Zieldomäne und errät die Transaktions-ID für eine der rekursiven Anfragen vom lokalen Caching-Server an den Authentifizierungsserver (2^16 x 2^16 = 2^32 ~ 4 Milliarden mögliche Kombinationen)
3. O fordert Daten über die Ziel-Domain an
4. Lokaler Caching-Server antwortet mit gefälschten Daten

(A) 1,2 —> |O´s lokaler DNS Server | <–3 —>4 (O)

Question 9

Wo muss der Angreifer ansetzen und was muss er genau erraten beim Simple Poisioning und Brite Force Cache Poisoning

Answer 9

(ID + Port) ?
Brute Force: er muss für eine angefragt id 2 hoch 32 cobinationen

Question 10

Was gibt es für Möglichkeiten das Poisioning abzusichern

Answer 10

PRNG BIND9, TSIG Einträge wie die aussehen usw.

Question 11

Dann als bessere Absicherung Split-Split DNS im Detail erklären (auch aufschreiben auf Papier, wo ist was für ein Server und was bringt das letztendlich)

Answer 11

Ziel: Vermeidung von Cache Poisoning durch externe Rechner

Die Idee: Aufteilung der Funktionen des Namensdienstes
- Namensauflösung (Nachschlagen von DNS-Informationen)
- Domäneninformationen (Auth-Dienst der lokalen DNS-Informationen)

Interner Server
- Führt Namensauflösung durch
- Führt iterative Abfragen bei entfernten DNS-Servern durch
- Befindet sich hinter einer Firewall und nimmt nur Anfragen aus dem lokalen LAN entgegen

Externer Server
- Autoritärer Server der Domäne
- Nimmt Fernanfragen an, akzeptiert aber keine Fernaktualisierungen

Question 12

DNS – welche schutzziele erfüllt das

Answer 12

(keine?) Verfügbarkeit

Question 13

Welchen weg nimmt die Anfrage, welche Schutzziele und Ressourcen sind bei einem Angriff gefährdet

Question 14

Wo ist das Bottleneck wenn der Root Server die Anfrage komplett beantworten würde (rekursiv)

Answer 14

-> Memory Depletion, da er den State Zwischenspeichern muss.

Question 15

Male eine Abbildung

Answer 15

inklusive “Victim”, “local DNS-Server”, mehrere “DNS-Server” und “Attacker” aufgezeichnet

Question 16

chronologische Angriffsschritte und Erklärung dazu. Warum ist es wichtig dass der Angreifer vorher für seine eigene Domain die Adresse bei dem lokalen Server auflösen lässt? Wie kann man das verhindern?

Answer 16

1. Damit Port und QueryID erraten werden können
2. (“simplere” Lösungen als DNSSEC waren gemeint, Port randomization, Split-Split-DNS, .

Question 17

Zeichnung Split Split DNS

Answer 17