Abo
  • Services:

DNS/AXFR: Nameserver verraten Geheim-URLs

Das DNS-Protokoll hat eine Funktion, mit der man umfangreiche Informationen zu einer Domain abfragen kann. Dieser sogenannte AXFR-Transfer ist normalerweise nicht für die Öffentlichkeit, aber erstaunlich viele DNS-Server erlauben ihn trotzdem.

Artikel veröffentlicht am , Hanno Böck
Die Betreiber des Projekts Internetwache haben AXFR-Antworten von DNS-Servern untersucht.
Die Betreiber des Projekts Internetwache haben AXFR-Antworten von DNS-Servern untersucht. (Bild: Screenshot / internetwache.org)

Ein wenig bekanntes Feature des DNS-Protokolls kann für unerwartete Probleme sorgen. Das sogenannte AXFR-Protokoll ist dafür gedacht, dass DNS-Server untereinander Zonen austauschen können. Gedacht ist AXFR eigentlich dafür, dass ein Serverbetreiber seine DNS-Server untereinander synchronisieren kann. Doch erstaunlich viele DNS-Server beantworten AXFR-Anfragen auch ganz öffentlich, ohne Authentifizierung und unabhängig von der Absender-IP-Adresse.

Informationen über alle Subdomains

Stellenmarkt
  1. CSL Behring GmbH, Marburg, Hattersheim am Main
  2. Robert Bosch GmbH, Stuttgart

Falls ein AXFR-Transfer möglich ist, kann man sich üblicherweise sämtliche Informationen, die ein DNS-Server über eine Domain und ihre Subdomains vorrätig hat, ausliefern lassen. Das für sich stellt nicht in jedem Fall eine Sicherheitslücke dar. Ein Problem kann allerdings auftreten, wenn Serverbetreiber davon ausgehen, dass bestimmte Subdomains geheim sind.

Die Betreiber der Webseite Internetwache.org haben sich die AXFR-Daten genauer angesehen und sie ausgewertet. Sie haben dafür die laut dem Statistikdienst Alexa eine Million beliebtesten Webseiten geprüft. Dabei ließen sich die Zoneninformationen zu über 70.000 Domains aufrufen. Etwa sieben Prozent der großen Webseiten legen also ihre Zonen über AXFR offen. In wie vielen Fällen das Absicht ist und wie viele davon lediglich ihre DNS-Server unbeabsichtigt falsch konfiguriert haben, lässt sich natürlich nicht feststellen.

Problem wurde bereits in den 90ern diskutiert

"Es ist interessant und gewissermaßen erstaunlich, dass sich bis heute so viele fehlerhaft konfigurierte Server finden lassen", kommentieren die Betreiber von Internetwache.org ihre Funde. "Da das Thema in den 1990er Jahren umfassend in der Fachwelt diskutiert wurde, sind wir eigentlich davon ausgegangen, auf kaum verwundbare Server zu stoßen." Eine ausführliche Erläuterung der Funktionsweise von AXFR und der Probleme findet sich auf der Webseite des Kryptographen Dan Bernstein.

Wir konnten die Auswertung von Internetwache.org nachvollziehen und haben selbst einen derartigen Scan durchgeführt. Ein Blick auf die Ergebnisse zeigt schnell, welche realen Probleme sich daraus ergeben können. Die beliebteste deutsche Webseite, die einen AXFR-Transfer zuließ, ist Zeit Online. Auf einer Subdomain befand sich ein Logging-Interface des Webservers - Daten, die nicht für die Öffentlichkeit bestimmt waren. Nachdem wir die Betreiber von zeit.de auf das Problem aufmerksam gemacht hatten, wurde die entsprechende Logging-Webseite umgehend gesperrt und der AXFR-Transfer abgeschaltet.

Auf einer Subdomain der Piratenpartei fanden wir ein Directory-Listing, in dem sich verschiedene, teilweise nicht installierte Webanwendungen befanden. Für die Öffentlichkeit war das vermutlich auch nicht gedacht. Wir haben dies der Geschäftsstelle der Piratenpartei mitgeteilt, eine Antwort haben wir nicht erhalten.

Ein Blick auf die weiteren Ergebnisse offenbart offene AXFR-Transfers bei der Torrent-Webseite Kickass, beim US-Mobilfunkanbieter Verizon Wireless und bei den japanischen Webseiten goo.ne.jp und livedoor.com. In Deutschland antworten unter anderem die DNS-Server der Stadt Berlin, der Webseiten Quoka.de und Filmstarts.de, von RTL2, vom Bayerischen Rundfunk und vom MDR auf AXFR-Anfragen. In Einzelfällen kann dies Absicht sein, es ist aber zu vermuten, dass es sich in den allermeisten Fällen um versehentliche Fehlkonfigurationen handelt.

Geheim-URLs keine gute Idee

Generell ist es keine gute Idee, sensible Informationen hinter scheinbar geheimen Subdomains zu verstecken. Alleine durch Erraten kann ein Angreifer diese erfahren, und da DNS-Anfragen generell unverschlüsselt sind, können diese auch auf anderem Wege öffentlich werden. Grundsätzlich sollten Webseiten mit internen Informationen nur passwortgeschützt und HTTPS-verschlüsselt erreichbar sein.

Nachtrag vom 2. April 2015, 12:07 Uhr

Die Piratenpartei hat uns inzwischen kontaktiert und mitgeteilt, dass der entsprechende Server mit Directory-Listing sowie die AXFR-Antworten deaktiviert wurden.



Anzeige
Blu-ray-Angebote
  1. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)
  2. (u. a. Logan, John Wick, Alien Covenant, Planet der Affen Survival)

klosterhase 07. Apr 2015

Und auch der Meister von nebenan hat einen Meisterbrief. Wer schon mal in Ländern...

ThorstenFunpeter 02. Apr 2015

hihi, ist es nicht ;)

Crass Spektakel 02. Apr 2015

Noch dramatischer, häufig sind die Betreiber von localhost.localdomain völlig überfordert...

Anonymer Nutzer 01. Apr 2015

Na ja, was der Scan nicht findet wird nicht unbedingt weiter beachtet. Wer einen Server...

tunnelblick 01. Apr 2015

Also erstmal geben Webseiten keine Informationen weiter, sondern...


Folgen Sie uns
       


Apple iPad Pro 2018 - Fazit

Mit dem neuen iPad Pro 12.9 hat Apple wieder ein großes Tablet vorgestellt, das sehr leistungsfähig ist und sich deshalb für eine große Bandbreite an Aufgaben einsetzen lässt. Im Test stellen wir aber wie bei den Vorgängern fest: Ein echtes Notebook ist das Gerät immer noch nicht.

Apple iPad Pro 2018 - Fazit Video aufrufen
Autonome Schiffe: Und abends geht der Kapitän nach Hause
Autonome Schiffe
Und abends geht der Kapitän nach Hause

Weite Reisen in ferne Länder, eine Braut in jedem Hafen: Klischees über die Seefahrt täuschen darüber hinweg, dass diese ein Knochenjob ist. Doch in wenigen Jahren werden Schiffe ohne Besatzung fahren, überwacht von Steuerleuten, die nach dem Dienst zur Familie zurückkehren. Daran arbeitet etwa Rolls Royce.
Ein Bericht von Werner Pluta

  1. Elektromobilität San Francisco soll ein Brennstoffzellenschiff bekommen
  2. Yara Birkeland Autonome Schiffe sind eine neue Art von Transportsystem
  3. Power Pac Strom aus dem Container für Ozeanriesen

Apple Mac Mini (Late 2018) im Test: Tolles teures Teil - aber für wen?
Apple Mac Mini (Late 2018) im Test
Tolles teures Teil - aber für wen?

Der Mac Mini ist ein gutes Gerät, wenngleich der Preis für die Einstiegsvariante von Apple arg hoch angesetzt wurde und mehr Speicher(platz) viel Geld kostet. Für 4K-Videoschnitt eignet sich der Mac Mini nur selten und generell fragen wir uns, wer ihn kaufen soll.
Ein Test von Marc Sauter

  1. Apple Mac Mini wird grau und schnell
  2. Neue Produkte Apple will Mac Mini und Macbook Air neu auflegen

Requiem zur Cebit: Es war einmal die beste Messe
Requiem zur Cebit
Es war einmal die beste Messe

Nach 33 Jahren ist Schluss mit der Cebit und das ist mehr als schade. Wir waren dabei, als sie noch nicht nur die größte, sondern auch die beste Messe der Welt war - und haben dann erlebt, wie Trends verschlafen wurden. Ein Nachruf.
Von Nico Ernst

  1. IT-Messe Die Cebit wird eingestellt

    •  /