1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › DNS Rebinding: Google Home verrät, wo…

DNS-Server

  1. Thema

Neues Thema Ansicht wechseln


  1. DNS-Server

    Autor: sav 19.06.18 - 19:42

    "Dafür konfigurierte er einen DNS-Server, der einen Host zunächst auf einen vom Angreifer kontrollierten Server zeigen lässt. Von dort wird eine Seite mit Javascript-Code geladen. Anschließend wird die DNS-Konfiguration geändert und der Hostname zeigt auf die lokale IP des jeweiligen Google-Geräts."
    Vielleicht ist es einfach schon zu spät, aber irgendwie versteh ich den Punkt nicht. Wer konfiguriert wo einen DNS Server und wann wird jetzt der DNS Eintrag beim lokalen Chromecast wie verändert?

  2. Re: DNS-Server

    Autor: AlexanderSchäfer 19.06.18 - 20:03

    Der Angreifer betreibt einen DNS-Server für seine eigene Domain (abc.com). Beim ersten Request antwortet dieser mit der IP eines Webservers, der eine HTML Seite mit JS-Code ausliefert. Der JS-Code kann wegen der Same-Origin Policy nur Requests an abc.com schicken.

    Das verhindert im Prinzip, dass Webseiten mit lokalen IPs kommunizieren können. Der Trick ist nun jedoch, dass der DNS-Server des Angreifers bei Folge-Anfragen nicht mehr mit der IP des Webservers antwortet, sondern mit lokalen IPs. Dadurch kann nun der JS-Code des Angreifers auch Requests am das lokale Google Home senden.

  3. Re: DNS-Server

    Autor: sav 19.06.18 - 20:20

    Verstanden, vielen Dank für die sehr gute Erklärung!

  4. Re: DNS-Server

    Autor: Laforma 19.06.18 - 20:50

    sav schrieb:
    --------------------------------------------------------------------------------
    > Verstanden, vielen Dank für die sehr gute Erklärung!

    Respekt, ich habs nicht verstanden. Ein DNS löst die URL in deren IP auf. Das macht aber nicht irgendein fremder DNS sondern der von mir oder meinem Router gewählte (vom ISP bereitgestellt oder eben Googles 8.8.8.8) - wann komm ich da mit einem anderen DNS in Berührung?

  5. Re: DNS-Server

    Autor: amagol 19.06.18 - 21:34

    Laforma schrieb:
    --------------------------------------------------------------------------------
    > Respekt, ich habs nicht verstanden. Ein DNS löst die URL in deren IP auf.
    > Das macht aber nicht irgendein fremder DNS sondern der von mir oder meinem
    > Router gewählte (vom ISP bereitgestellt oder eben Googles 8.8.8.8) - wann
    > komm ich da mit einem anderen DNS in Berührung?

    Stell dir vor du bist auf www.golem.de, jetzt ist da ein link im JS auf googlehome.golem.de, der wird vom DNS aufgeloest zu 192.168.1.123 und schon kann dein Browser mit dieser Addresse sprechen. Da ist es vollkommen egal welchen DNS Server du benutzt.

  6. Re: DNS-Server

    Autor: Anonymer Nutzer 19.06.18 - 21:42

    ich steh auch aufm schlauch, wie genau wird der dns durch einen "link im JS" verändert?



    1 mal bearbeitet, zuletzt am 19.06.18 21:45 durch ML82.

  7. Re: DNS-Server

    Autor: Technik Schaf 19.06.18 - 21:59

    Laforma schrieb:
    --------------------------------------------------------------------------------
    > sav schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Verstanden, vielen Dank für die sehr gute Erklärung!
    >
    > Respekt, ich habs nicht verstanden. Ein DNS löst die URL in deren IP auf.
    > Das macht aber nicht irgendein fremder DNS sondern der von mir oder meinem
    > Router gewählte (vom ISP bereitgestellt oder eben Googles 8.8.8.8) - wann
    > komm ich da mit einem anderen DNS in Berührung?


    woher weiß denn der 8.8.8.8 von Google welche IP zu boeserhacker.de gehört?
    Richtig, er fragt nach. Normalerweise beim Nameserver deines Domain Anbieters, aber du kannst auch die Botschaft verbreiten dass dein eigener Server diese Anfragen erhält und die dns roots ausliefert.
    und damit ist egal was du als dns gesetzt hast. letztendlich landet deine dns Anfrage für boeserhacker.de eben beim bösen hacker

    alle anderen Domains bleiben davon (Gott sei Dank) unberührt



    1 mal bearbeitet, zuletzt am 19.06.18 22:00 durch Technik Schaf.

  8. Re: DNS-Server

    Autor: amagol 20.06.18 - 01:00

    ML82 schrieb:
    --------------------------------------------------------------------------------
    > ich steh auch aufm schlauch, wie genau wird der dns durch einen "link im
    > JS" verändert?

    Kennst du services wie Dyndns, die einen Domainnamen fuer eine dynamisch vergebene IP aufloesen? Der Client sendet einen request in der Form "/update?ip=1.2.3.4&host=www.meinedomain.de" an den Server. Danach antwortet der DNS auf Anfragen zu "www.meinedomain.de" mit der IP 1.2.3.4

  9. Re: DNS-Server

    Autor: Anonymer Nutzer 20.06.18 - 05:37

    dass müsste ja vorrausetzen, dass ein so leicht manipullierbarer dns zum auflösen der namen eingestellt worden wäre, wie passierte das?

  10. Re: DNS-Server

    Autor: whitbread 20.06.18 - 07:05

    Ich kann mir jetzt auch grad nicht vorstellen, wie die Kommunikation über den www-Uplink mit einer "lokalen" IP funktionieren soll - das wird doch geblockt.

  11. Re: DNS-Server

    Autor: AlexanderSchäfer 20.06.18 - 10:25

    whitbread schrieb:
    --------------------------------------------------------------------------------
    > Ich kann mir jetzt auch grad nicht vorstellen, wie die Kommunikation über
    > den www-Uplink mit einer "lokalen" IP funktionieren soll - das wird doch
    > geblockt.

    Nein, in vielen Fällen passiert dies eben genau nicht. Das ist ja der Trick des DNS Rebindings.

  12. Re: DNS-Server

    Autor: bloody 20.06.18 - 11:07

    ML82 schrieb:
    --------------------------------------------------------------------------------
    > dass müsste ja vorrausetzen, dass ein so leicht manipullierbarer dns zum
    > auflösen der namen eingestellt worden wäre, wie passierte das?


    Nein muss nicht. Der Hacker muss nur in dem DNS für seine Domain eine TTL von 1 eintragen und dann muss DEIN Router JEDESMAL wieder den DNS des Hackers fragen wie die IP von boeserhacker.de ist.

    So einfach wie hier im Artikel beschrieben ist es weiss Gott nicht, aber "Fachmann" kriegt das hin.

  13. Re: DNS-Server

    Autor: whitbread 20.06.18 - 23:14

    Ich weiss nicht, ob mein DNS-Cache die TTL-Vorgabe des externen Servers übernimmt, aber ich weiss, dass meine FW lokale IP-Adressen vom Uplink-Port blockt. Habe ich genug getan, um gegen diesen Angriff geschützt zu sein?

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Universitätsklinikum Frankfurt, Frankfurt am Main
  2. AcadeMedia GmbH, München
  3. Concordia Versicherungsgesellschaft a.G., Hannover
  4. Erzbistum Köln, Köln

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Mobile-Angebote
  1. 699€ (mit Rabattcode "POWERFRIDAY20" - Bestpreis!)
  2. 159,99€ (mit Rabattcode "POWERFRIDAY20" - Bestpreis!)
  3. (u. a. Apple iPhone 11 Pro Max 256GB 6,5 Zoll Super Retina XDR OLED für 929,98€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


  1. Made in USA: Deutsche Huawei-Gegner schweigen zu Juniper-Hintertüren
    Made in USA
    Deutsche Huawei-Gegner schweigen zu Juniper-Hintertüren

    Zu unbequemen Fragen schweigen die Transatlantiker Manuel Höferlin, Falko Mohrs, Metin Hakverdi, Norbert Röttgen und Friedrich Merz. Das wirkt unredlich.

  2. Huawei-Chef: Die USA "wollen uns umbringen"
    Huawei-Chef
    Die USA "wollen uns umbringen"

    Huawei-Chef Ren Zhengfei betont nach dem Verkauf von Honor die Unabhängigkeit der Smartphone-Marke unter den neuen Besitzern. Die USA wollten sein Unternehmen vernichten.

  3. Digital Imaging: Koelnmesse beendet Photokina
    Digital Imaging
    Koelnmesse beendet Photokina

    War es das mit der Photokina? Oder gibt es einen Neustart für die Fotoleitmesse?


  1. 19:14

  2. 18:07

  3. 17:35

  4. 16:50

  5. 16:26

  6. 15:29

  7. 15:02

  8. 13:42