DNSSEC Zone Enumeration

Grassi, Giuliano and Sager, Ralf (2011) DNSSEC Zone Enumeration. Student Research Project thesis, HSR Hochschule für Technik Rapperswil.

Full text not available from this repository.

Abstract

Die Domain Name System Security Extensions liefern dem DNS Resolver mittels Next-SECure (NSEC) Records eine signierte Bestätigung als Beweis über die Nichtexistenz eines DNS-Records. Da die NSEC-Records im Grunde eine Verkettung aller Domainnamen in einer Zone darstellen, ist es möglich alle NSEC-Records nacheinander abzufragen um so den ganzen Inhalt einer Zone auszulesen (zone walking). Die Möglichkeit einer solchen Enumeration ist jedoch häufig unerwünscht - beispielsweise kann ein Angreifer so Informationen über den Aufbau eines Netzwerks und über
potentielle Angriffsziele erhalten. Als Alternative wurde der NSEC3-Record eingeführt, der eine Enumeration erschwert. Eine NSEC3-Kette besteht aus den geordneten kryptographischen Hash-Werten der Domainnamen. NSEC3 Records können nicht direkt abgefragt werden, was ein sukzessives Abfragen der Records verhindert und die Enumeration erschwert. Zudem erlauben einzelne NSEC3-Records keine direkten Rückschlüsse auf existierende Domainnamen innerhalb der Zone.
Wir zeigen, dass sich auch Zonen, welche NSEC3-Records einsetzen, mit einem einfachen Algorithmus enumerieren lassen. Dazu haben wir Werkzeuge entwickelt, welche eine
NSEC- oder NSEC3-Enumeration zuverlässig durchführen können. Wir zeigen auch, dass sich NSEC3-Hashes relativ einfach knacken lassen und demonstrieren dies anhand einer real existierenden DNS-Zone. Innerhalb von 24 Stunden haben wir mit unserer Methode 82 % aller NSEC3-Records einer Top-Level-Domain Zone ausgelesen. Von den ausgelesenen Hashes konnten wir 83.8 % innerhalb von 9 Tagen knacken, was über 68 % der gesamten Zone entspricht.

Item Type: Thesis (Student Research Project)
Subjects: Topics > Internet Technologies and Applications
Topics > Security
Metatags > ITA (Institute for Internet Technologies and Applications)
Divisions: Bachelor of Science FHO in Informatik > Student Research Project
Depositing User: OST Deposit User
Contributors:
Contribution
Name
Email
Thesis advisor
Steffen, Andreas
UNSPECIFIED
Date Deposited: 24 Jul 2012 07:57
Last Modified: 24 Jul 2012 09:35
URI: https://eprints.ost.ch/id/eprint/175

Actions (login required)

View Item
View Item