Schutz vor DNS Rebinding

DNS ist eines der ältesten Protokolle des Internets. Im Gegensatz zu vielen anderen, die zum Teil mittlerweile verschwunden sind, ist es aber noch immer aktuell. Dazu beigetragen haben vor allem die vielen Absicherungen und Erweiterungen von DNS selbst. Unabhängig vom zugrundeliegenden Protokoll ist die Namensauflösung heute noch immer notwendig für die Verwendung des Internets, da sie die IP-Adressen abstrahiert und das Internet für den Menschen damit erst nutzbar ist. Leider ist die Namensauflösung (vor allem mit DNS) immer wieder auch Mittel zum Zweck für Angreifer.

Auch wenn wir klassische DNS-Angriffe wie Cache Poisoning heute nicht mehr fürchten müssen, ist es notwendig, DNS in unserer Netzwerkinfrastruktur zu managen und zu beobachten. Tatsächlich lässt sich das Protokoll von Angreifern nämlich einsetzen, um Inhalte in unsere Systeme einzuschleusen. Die empfangene DNS-Antwort enthält ja vor allem die IP-Adresse eines im späteren Ablauf anzufragenden Hostsystems. Dabei kann ein Angreifer aber auch gefälschte IP-Adressen über DNS ausliefern – und so Zugriff auf interne Systeme eines Netzwerks erhalten.

Überraschend einfach

Das Konzept des als DNS Rebinding bezeichneten Angriffs ist bemerkenswert einfach. Das Ziel ist der Zugriff auf Ressourcen des internen Netzwerks des Opfers. Üblicherweise verhindern moderne Browser den direkten Zugriff auf die Ressourcen anderer Domains, das Stichwort an dieser Stelle lautet Cross-origin Resource Sharing (CORS). Um diese Sperre zu umgehen, verfährt der Angreifer wie folgt: Ein ausgewähltes Opfer landet auf einer manipulierten Webseite. Mittels DNS fragt der Browser die IP-Adresse der Domain ab. Die Antwort enthält die IP-Adresse eines Webservers und eine sehr kurze Lebensdauer (TTL) der Antwort.

Der Webserver liefert nun dynamische, vom Angreifer kontrollierte Inhalte aus. Bei der Ausführung fragt der Browser zu einem

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.