Keine Bearbeitungszusammenfassung |
|||
| Zeile 11: | Zeile 11: | ||
==DNS Rebind Angriff== | ==DNS Rebind Angriff== | ||
DNS-Rebinding | |||
Was ist das? | |||
Ein Angriff um Clientseitig Manipulationen durchzuführen. | |||
Wie funktioniert das? | |||
Der Angreifer benötigt ein Script und eine Domain sowie einen Manipulierten Nameserver. | |||
Der Nutzer greift auf eine Domain zu, beispielweise www.attacker.de, und bekommt vom DNS Server die IP 198.198.254.1, mit einer kurzen Time to live Zeit, zurück. | |||
Nur wird die Seite nach einiger Sekunden refreshed, zB. über ein Java Script. | |||
Der DNS Eintrag istr aufgrund der abgelaufen TTL nicht mehr gültig. | |||
Nun kann der DNS Server des Angreifers eine beliebige IP zurück liefern. | |||
Diese IP Adresse kann dann auf eine andere Domaine verweisen von der Daten und scripte nach geladen werden können. Der Browser schöpft keine verdacht da er denk das er sich immer noch auf www.attacker.de befindt. | |||
Version vom 2. Februar 2017, 12:21 Uhr
Informationen
Letze Anpassung zur Version: 11.7
Bemerkung: Neu Artikel DNS Rebinding Pervention
Einleitung
Die DNS Rebinding Prevention ist ein neues Feature UTM. Dieser neue DNS Filter bietet neue Möglichkeiten bösartige DNS Antworten zu blockieren. In diesem Artikel soll es darum gehen zu verstehen wie ein solche Angriff funktioniert und wie die die Prevention solche Angriffe verhindert.
DNS Rebind Angriff
DNS-Rebinding Was ist das? Ein Angriff um Clientseitig Manipulationen durchzuführen. Wie funktioniert das? Der Angreifer benötigt ein Script und eine Domain sowie einen Manipulierten Nameserver. Der Nutzer greift auf eine Domain zu, beispielweise www.attacker.de, und bekommt vom DNS Server die IP 198.198.254.1, mit einer kurzen Time to live Zeit, zurück. Nur wird die Seite nach einiger Sekunden refreshed, zB. über ein Java Script. Der DNS Eintrag istr aufgrund der abgelaufen TTL nicht mehr gültig. Nun kann der DNS Server des Angreifers eine beliebige IP zurück liefern. Diese IP Adresse kann dann auf eine andere Domaine verweisen von der Daten und scripte nach geladen werden können. Der Browser schöpft keine verdacht da er denk das er sich immer noch auf www.attacker.de befindt.