Universität Duisburg-Essen
Verteilte Systeme
Ermittlung der Herkunft von DNS-Spoofing mit Traceroute
Prüfer Prof. Dr.-Ing. Torben Weis
Betreuer Dipl.-Inform. Matthäus Wander
Bearbeiter Steffen Matthias
Abgabe Januar 2014

Ziel: Identifikation von Routern im Internet, die das Zensurverfahren DNS Injection einsetzen.

Szenario: Ein Host sendet eine DNS-Anfrage an eine Zieladresse. Domainname und Zieladresse sind vorab dafür bekannt, von DNS Injection betroffen zu sein. Der Host erhält eine oder mehrere DNS-Antworten. Die Quelladresse und der Nachrichteninhalt sind gefälscht (Man-in-the-Middle-Angriff mittels DNS-Spoofing).

Methode: Senden von DNS-Anfragen mit niedrigem Time-to-Live-Wert (TTL) im IPv4-Header. Wird die Anfrage mit jeweils um 1 erhöhtem TTL-Wert wiederholt gesendet, erfährt man durch die jeweiligen ICMP-Fehlerpakete Time Exceeded, entlang welcher Hops die IP-Pakete gesendet werden (Traceroute). Zusätzlich kann man aus den empfangenen Paketen herleiten, ab welchem Hop gefälschte DNS-Antworten versandt werden.

Die Aufgabe dieser Bachelorarbeit ist die Entwicklung eines Tools, in dem die obige Messmethode implementiert ist. Es können beliebige, freie Softwarebibliotheken verwendet werden, z. B. zum Parsen und Zusammenfügen von IP-Paketen und DNS-Nachrichten. Um IP-Pakete mit niedrigem TTL-Wert versenden zu können, ist die Verwendung von Raw Sockets notwendig.

Das Tool sollte zwei Betriebsmodi unterstützen:
  • Single Mode: Einzelner Scan mit Ausgabe der ermittelten Hops und erhaltenen DNS-Antworten (vergleichbar mit der Ausgabe von traceroute oder tracert).
  • Batch Mode: Automatischer Scan einer Liste von Ziel-IP-Adressen. Das Tool soll pro Zieladresse die IP-Adresse des ersten Hops ausgeben, der eine DNS-Antwort zurückgesendet hat (falls möglich bei mehreren DNS-Antworten: die IP-Adressen aller Hops, die eine DNS-Antwort zurückgesendet haben).
 

© Universität Duisburg-Essen, Verteilte Systeme - Kontakt: webmaster@vs.uni-due.de

Impressum - Datenschutz