Abo
  • Services:
Anzeige
Die Betreiber des Projekts Internetwache haben AXFR-Antworten von DNS-Servern untersucht.
Die Betreiber des Projekts Internetwache haben AXFR-Antworten von DNS-Servern untersucht. (Bild: Screenshot / internetwache.org)

DNS/AXFR: Nameserver verraten Geheim-URLs

Die Betreiber des Projekts Internetwache haben AXFR-Antworten von DNS-Servern untersucht.
Die Betreiber des Projekts Internetwache haben AXFR-Antworten von DNS-Servern untersucht. (Bild: Screenshot / internetwache.org)

Das DNS-Protokoll hat eine Funktion, mit der man umfangreiche Informationen zu einer Domain abfragen kann. Dieser sogenannte AXFR-Transfer ist normalerweise nicht für die Öffentlichkeit, aber erstaunlich viele DNS-Server erlauben ihn trotzdem.

Anzeige

Ein wenig bekanntes Feature des DNS-Protokolls kann für unerwartete Probleme sorgen. Das sogenannte AXFR-Protokoll ist dafür gedacht, dass DNS-Server untereinander Zonen austauschen können. Gedacht ist AXFR eigentlich dafür, dass ein Serverbetreiber seine DNS-Server untereinander synchronisieren kann. Doch erstaunlich viele DNS-Server beantworten AXFR-Anfragen auch ganz öffentlich, ohne Authentifizierung und unabhängig von der Absender-IP-Adresse.

Informationen über alle Subdomains

Falls ein AXFR-Transfer möglich ist, kann man sich üblicherweise sämtliche Informationen, die ein DNS-Server über eine Domain und ihre Subdomains vorrätig hat, ausliefern lassen. Das für sich stellt nicht in jedem Fall eine Sicherheitslücke dar. Ein Problem kann allerdings auftreten, wenn Serverbetreiber davon ausgehen, dass bestimmte Subdomains geheim sind.

Die Betreiber der Webseite Internetwache.org haben sich die AXFR-Daten genauer angesehen und sie ausgewertet. Sie haben dafür die laut dem Statistikdienst Alexa eine Million beliebtesten Webseiten geprüft. Dabei ließen sich die Zoneninformationen zu über 70.000 Domains aufrufen. Etwa sieben Prozent der großen Webseiten legen also ihre Zonen über AXFR offen. In wie vielen Fällen das Absicht ist und wie viele davon lediglich ihre DNS-Server unbeabsichtigt falsch konfiguriert haben, lässt sich natürlich nicht feststellen.

Problem wurde bereits in den 90ern diskutiert

"Es ist interessant und gewissermaßen erstaunlich, dass sich bis heute so viele fehlerhaft konfigurierte Server finden lassen", kommentieren die Betreiber von Internetwache.org ihre Funde. "Da das Thema in den 1990er Jahren umfassend in der Fachwelt diskutiert wurde, sind wir eigentlich davon ausgegangen, auf kaum verwundbare Server zu stoßen." Eine ausführliche Erläuterung der Funktionsweise von AXFR und der Probleme findet sich auf der Webseite des Kryptographen Dan Bernstein.

Wir konnten die Auswertung von Internetwache.org nachvollziehen und haben selbst einen derartigen Scan durchgeführt. Ein Blick auf die Ergebnisse zeigt schnell, welche realen Probleme sich daraus ergeben können. Die beliebteste deutsche Webseite, die einen AXFR-Transfer zuließ, ist Zeit Online. Auf einer Subdomain befand sich ein Logging-Interface des Webservers - Daten, die nicht für die Öffentlichkeit bestimmt waren. Nachdem wir die Betreiber von zeit.de auf das Problem aufmerksam gemacht hatten, wurde die entsprechende Logging-Webseite umgehend gesperrt und der AXFR-Transfer abgeschaltet.

Auf einer Subdomain der Piratenpartei fanden wir ein Directory-Listing, in dem sich verschiedene, teilweise nicht installierte Webanwendungen befanden. Für die Öffentlichkeit war das vermutlich auch nicht gedacht. Wir haben dies der Geschäftsstelle der Piratenpartei mitgeteilt, eine Antwort haben wir nicht erhalten.

Ein Blick auf die weiteren Ergebnisse offenbart offene AXFR-Transfers bei der Torrent-Webseite Kickass, beim US-Mobilfunkanbieter Verizon Wireless und bei den japanischen Webseiten goo.ne.jp und livedoor.com. In Deutschland antworten unter anderem die DNS-Server der Stadt Berlin, der Webseiten Quoka.de und Filmstarts.de, von RTL2, vom Bayerischen Rundfunk und vom MDR auf AXFR-Anfragen. In Einzelfällen kann dies Absicht sein, es ist aber zu vermuten, dass es sich in den allermeisten Fällen um versehentliche Fehlkonfigurationen handelt.

Geheim-URLs keine gute Idee

Generell ist es keine gute Idee, sensible Informationen hinter scheinbar geheimen Subdomains zu verstecken. Alleine durch Erraten kann ein Angreifer diese erfahren, und da DNS-Anfragen generell unverschlüsselt sind, können diese auch auf anderem Wege öffentlich werden. Grundsätzlich sollten Webseiten mit internen Informationen nur passwortgeschützt und HTTPS-verschlüsselt erreichbar sein.

Nachtrag vom 2. April 2015, 12:07 Uhr

Die Piratenpartei hat uns inzwischen kontaktiert und mitgeteilt, dass der entsprechende Server mit Directory-Listing sowie die AXFR-Antworten deaktiviert wurden.


eye home zur Startseite
klosterhase 07. Apr 2015

Und auch der Meister von nebenan hat einen Meisterbrief. Wer schon mal in Ländern...

ThorstenFunpeter 02. Apr 2015

hihi, ist es nicht ;)

Crass Spektakel 02. Apr 2015

Noch dramatischer, häufig sind die Betreiber von localhost.localdomain völlig überfordert...

DetlevCM 01. Apr 2015

Na ja, was der Scan nicht findet wird nicht unbedingt weiter beachtet. Wer einen Server...

tunnelblick 01. Apr 2015

Also erstmal geben Webseiten keine Informationen weiter, sondern...



Anzeige

Stellenmarkt
  1. MVV EnergySolutions GmbH, Mannheim
  2. Robert Bosch GmbH, Stuttgart-Feuerbach
  3. Robert Bosch Packaging Technology GmbH, Crailsheim
  4. Robert Bosch GmbH, Gerlingen


Anzeige
Spiele-Angebote
  1. 12,99€
  2. (-20%) 35,99€

Folgen Sie uns
       


  1. UE Blast und Megablast

    Alexa-Lautsprecher sind wasserfest und haben einen Akku

  2. TPCast im Hands on

    Überzeugende drahtlose Virtuelle Realität

  3. Separate Cloud-Version

    Lightroom nur noch als Abo erhältlich

  4. 360 Round

    Samsungs 360-Grad-Kamera hat 17 Objektive

  5. X299E-ITX/ac

    Asrock quetscht Sockel 2066 auf Mini-ITX-Board

  6. Alternativer Antrieb

    Toyota zeigt Brennstoffzellenauto und Bus

  7. U-Bahn

    Telefónica baut BTS-Hotels im Berliner Untergrund

  8. Kabelnetz

    Statt auf Docsis 3.1 lieber gleich auf Glasfaser setzen

  9. Virtuelle Güter

    Activision patentiert Förderung von Mikrotransaktionen

  10. Nervana Neural Network Processor

    Intels KI-Chip erscheint Ende 2017



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Elektromobilität: Niederlande beschließen Aus für Verbrennungsautos
Elektromobilität
Niederlande beschließen Aus für Verbrennungsautos
  1. World Solar Challenge Regen in Australien verdirbt Solarrennern den Spaß
  2. Ab 2030 EU-Komission will Elektroauto-Quote
  3. Mit ZF und Nvidia Deutsche Post entwickelt autonome Streetscooter

Verschlüsselung: Niemand hat die Absicht, TLS zu knacken
Verschlüsselung
Niemand hat die Absicht, TLS zu knacken
  1. TLS-Zertifikate Zertifizierungsstellen müssen CAA-Records prüfen
  2. Apache-Lizenz 2.0 OpenSSL-Lizenzwechsel führt zu Code-Entfernungen
  3. Certificate Transparency Webanwendungen hacken, bevor sie installiert sind

Zotac Zbox PI225 im Test: Der Kreditkarten-Rechner
Zotac Zbox PI225 im Test
Der Kreditkarten-Rechner

  1. Re: Ich als Hobbyfotograf..

    rizzorat | 09:24

  2. Re: OMG war das lahm

    Raistlin | 09:21

  3. Re: Bei "Intel Atom" habe ich aufgehört zu lesen

    superdachs | 09:20

  4. Re: Kommt da evtl noch eine qwertz Version?

    superdachs | 09:19

  5. Re: Warum bitte 600PS

    jo-1 | 09:17


  1. 09:01

  2. 08:00

  3. 07:52

  4. 07:33

  5. 07:23

  6. 07:15

  7. 19:09

  8. 17:40


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel