Professionelle der Angreifer nutzen fortgeschrittene Angriffstechniken, arbeiten zielgerichtet und effizient und stellen so Advanced Persistant Threats dar. Ein Einfallstor für viele solcher Netzwerk-Angriffe sind die Server von großen Unternehmen und Service-Providern, die für die Adressierung praktisch allen Netzverkehrs zuständig sind, die Domain-Name-System bzw. DNS-Server. Haya Schulmann hat ein Testverfahren entwickelt, mit dem diese DNS-Server auf Schwachstellen untersucht werden können, ohne dass Schäden entstehen oder Security-Systeme falschen Alarm schlagen: Cache Test ist bereits als webbasierte Lösung implementiert und lässt sich unter https://cache-test.cad.sit.fraunhofer.de/index.html kostenlos ausprobieren. Ein Klick und die Untersuchung startet ­– nach 10 bis 15 Minuten erhalten Testende eine Auswertung für die von ihnen genutzte DNS-Infrastruktur.

Cyber-Attacken auf DNS-Infrastrukturen

Cache Poisoning ist ein typischer Angriff im Internet, um das Domain Name System (DNS) zu manipulieren, das im Internet dazu dient, den Datenverkehr zu steuern und die in URLs enthaltenen Hostnamen in IP-Nummern umwandelt - beispielsweise https://www.sit.fraunhofer.de in 141.12.16.230. Dabei verändern Kriminelle oder staatliche Angreifer Einträge im DNS-Speicher von Unternehmensnetzen (Cache). Gelingt dies, können Angreifer zum Beispiel E-Mails umleiten oder abfangen, Phishing-Angriffe durchführen oder Denial-of-Service-Attacken starten. Das am Fraunhofer SIT entwickelte Cache Test-Verfahren ermöglicht den Betreibenden von DNS-Servern, Cache-Poisoning-Schwachstellen aufzufinden.

Wie arbeitet Cache Test?

Cache Test steht Nutzerinnen und Nutzern aktuell kostenfrei zur Verfügung. Die webbasierte Lösung nutzt den Browser des Testenden, um DNS-Anfragen zu starten. Konkret versucht der Browser, Bilder aus dem Internet einzubinden. Hierzu nutzt er die zu den Bildern gehörenden Web-Adressen, die mit Hilfe des Domain Name Systems aufgelöst werden (der DNS-Name ist ein Teil einer URL im Web). Je nach Gestaltung und Konfiguration der DNS-Infrastruktur der Testenden treffen die zugehörigen DNS-Anfragen in unterschiedlicher Form und Reihenfolge bei der Cache-Test-Infrastruktur ein, wodurch Rückschlüsse auf die untersuchten DNS-Dienste und deren Konfiguration möglich werden.

Cache Test führt 14 Tests durch, deren einzelne DNS-Anfragen jeweils 10 bis 30 mal wiederholt werden. Dabei wertet Cache Test die Anfragen an die Cache-Test-eigenen DNS-Server aus, wodurch die Testergebnisse hergeleitet werden. Die Ergebnisse fasst die Lösung in einem kurzen Bericht zusammen, der Auskunft gibt über Schwachstellen und Fehlkonfigurationen der betroffenen DNS-Server. Daraus lassen sich dann Schutzmaßnahmen ableiten: Manchmal hilft ein Software-Update oder die Änderung der Servereinstellungen, mitunter muss aber auch die Software gewechselt bzw. ganz neu installiert werden.