Aktuelle
Meldungen

Beitrag von ATHENE-Forschenden im APNIC-Blog: DNS-over-TCP gilt als verwundbar

12.11.2021

In ihrem neuesten Beitrag im APNIC-Blog diskutieren die ATHENE-Wissenschaftler*innen jüngste Empfehlungen, TCP anstelle von UDP für den Versand von DNS-Paketen zu verwenden. Um ein Netz leichter durchqueren zu können, werden große Pakete mittels der sogenannten IP-Fragmentierung oft in kleinere Pakete unterteilt. Als Alternative zu dieser IP-Fragmentierung wurde jüngst TCP mit Path MTU Discovery (PMTUD) vorgeschlagen und die Empfehlung ausgesprochen, TCP anstelle von UDP für den Versand von DNS-Paketen zu verwenden. Dies beruht auf der Annahme, dass TCP resistent gegen IP-Fragmentierungsangriffe ist.

In einer kürzlich durchgeführten Studie haben die ATHENE-Forschenden allerdings festgestellt, dass IP-Fragmentierungsangriffe sehr wohl auch auf Pakete über TCP erfolgen können. Antworten von mindestens 393 zusätzlichen Nameservern von Domains können für IP-Fragment-Fehlzuordnungsangriffe über Quellfragmentierung ausgenutzt werden. Besorgniserregend ist, dass die Angriffsfläche potenziell sogar noch größer ist: Über tausend Zwischenrouter im Internet haben eine kleine Next-Hop-MTU, was dazu führt, dass Pakete, die sie durchqueren, auch dann fragmentiert werden, wenn die Fragmentierung nicht von der Quelle vorgenommen wird.

In dem Beitrag auf APNIC wird die Studie selbst erläutert sowie Möglich­keiten aufgezeigt, wie man TCP zum Fragmentieren zwingen kann.

Die Forschenden Prof. Michael Waidner, Dr. Haya Shulman und Tianxiang Dai (alle Fraunhofer SIT)  stellten ihre Arbeit bereits auf dem ACM/IRTF Applied Networking Research Workshop 2021 (ANRW’21) vor.

Beitrag auf APNIC

Vortrag auf ANRW`21 (auf YouTube)

Der APNIC-Blog ist ein technischer Blog, der von APNIC, einem der fünf regionalen Internet-Register der Welt, betrieben wird.

Zur News-Übersicht