‘DNS cache poisoning blijkt nog steeds mogelijk’

Abonneer je gratis op Techzine!

Het hacken van het Domain Name System (DNS) om internetgebruikers naar kwaadaardige websites om te leiden via DNS cache poisoning is nog steeds mogelijk. Dit ontdekten recent onderzoekers van Tsinghua University en de University of California.

In 2008 ontdekte onderzoeker Dan Kaminsky dat hackers via het DNS gebruikers van websites in groten getale konden omleiden naar kwaadaardige sites. Met de techniek DNS cache poisoning, die vooral draait om zogenoemde DNS resolvers, werd het mogelijk om de in een cache opgeslagen correct IP-adres te veranderen of spoofen in een kwaadaardig IP-adres. Met het gevolg dat gebruikers werden omgeleid naar een kwaadaardige kopie van de originele website. Dit met alle gevolgen van dien.

Na de ontdekking van deze methode installeerden wereldwijd duizenden DNS-leveranciers een oplossing voor dit probleem, waardoor deze spoofing onmogelijk werd gemaakt.

Nieuwe methode voor DNS cache poisoning

In het rapport dat de onderzoekers van beide universiteiten nu hebben gepresenteerd, blijkt DNS cache poisoning echter nog steeds mogelijk te zijn. Het is nog steeds mogelijk dat kwaadaardige gespoofde IP-adressen worden teruggestuurd in plaats van het IP-adres dat aan de juiste website is verbonden.

De nieuwe techniek gebruikt een zijkanaal, waarin het poortnummer wordt geïdentificeerd dat in een lookup-aanvraag wordt gebruikt. Het zijkanaal dat hiervoor wordt gebruikt is de rate limit van het Internet Control Message Protocol. Het juiste poortnummer wordt verkregen door heel veel aanvragen te versturen en zo de rate limit aan te passen. Uiteindelijk komen zij zo en kunnen zij uiteindelijk het IP-adres aanpassen.

Eerste fixes al uitgebracht

De onderzoekers geven in hun commentaar aan dat zij erg onder de indruk zijn van de effectiviteit van deze DNS cache poisoning-methode. Vooral voor DNS-aanbieders die veel DNS resolvers gebruiken, kan dit grote problemen opleveren.

Inmiddels zijn al de eerste fixes voor dit probleem uitgebracht. Onder meer voor het besturingssysteem Linux en content delivery-specialist Cloudflare.

Tip: Cloudflare wil internet routing problemen voorkomen met RPKI