Bundesamt für Sicherheit in der Informationstechnik

Domain Name System (DNS) Test

Ort Bonn
Datum 31.07.2008

Hinweis zur Pressemitteilung
Sicherheitslücke im Domain Name System wird ausgenutzt vom 31. Juli 2008

Systemüberprüfung

Eine Überprüfung, ob der von Ihnen verwendete DNS-Server von der Schwachstelle betroffen ist, ist beispielsweise über die Webseite des DNS-OARC möglich.
Hinweis: Bei der aufgeführten Webseite handelt es sich um einen externen Anbieter. Für die Richtigkeit der dort gelieferten Ergebnisse kann das BSI keine Gewährleistung übernehmen.

Klicken Sie auf der oben angegebenen Webseite des DNS-OARC auf den Link Test My DNS.

Hinweise

Bei der Kommunikation zwischen einzelnen DNS-Servern verhindern zufällige Werte von Kommunikationsparametern einen missbräuchlichen Angriff durch Dritte.
Von der DNS-Schwachstelle betroffene Systeme variieren einzelne dieser Werte nicht ausreichend oder verwenden ggf. sogar feste Werte.

Testergebnis/Risikoeinstufung

Nach kurzer Zeit erscheint eine Seite mit den Ergebnissen des Tests, der die zufällige Verteilung der Kommunikationsparameter "Source-Port" und "Transaction-ID" der verwendeten DNS-Server untersucht und bewertet.

Achtung: Viele Internetanbieter betreiben aus Gründen der Lastverteilung mehrere DNS-Server. Der Test kann daher Ergebnisse für mehrere DNS-Server liefern.

Für jedes während des Tests verwendeten DNS-Systems erhalten Sie als Ergebnis eine Risikoeinstufung zu

  • zur Zufälligkeit der Quellportverteilung (Source Port Randomness)
  • Zufälligkeit der Transaktionsnummer (Transaction ID Randomness)
  • sowie detaillierte Grafiken über die Testergebnisse

Die aktuelle Schwachstelle basiert auf einer zu geringen zufälligen Verteilung der bei Anfragen verwendeten Portnummern. Daher gibt insbesondere das Ergebnis zur "Source Port Randomness" Auskunft darüber, ob der Internet-Anbieter Schutzmaßnahmen gegen die Ausnutzung dieser Schwachstelle ergriffen hat.

Beispielsweise:

SOurce Port Randomness: GREAT

Transaction ID Randomness: GREAT

Grafik der Auswertung des Tests Im Koordinatenkreuz wird die Zufälligkeit der während des Tests durchgeführten Anfragen visualisiert.

Bedeutung der Auswertung:

  1. Erscheint als Ergebnis die Einstufung
    "Source Port Randomness: Great" sowie
    "Transaction ID Randomness: Great"
    sind die verwendeten DNS-Systeme ausreichend gegenüber der bekannt gewordenen Schwachstelle geschützt.
  2. Erscheint als Ergebnis die Einstufung
    "Source Port Randomness: Good" sowie
    "Transaction ID Randomness: Great"
    ist vorläufig ebenfalls von einem ausreichenden Schutz auszugehen.
  3. Bei einem Testergebnis mit der Einstufung "Unknown" konnten nicht genügend Testdatensätze ermittelt werden und der Test sollte ggf. wiederholt werden.
  4. Bei allen anderen Testergebnissen besteht hingegen die Gefahr, dass Angreifer das verwendete DNS-System manipulieren und beispielsweise Aufrufe von Webseiten auf fremde Webserver umgeleitet werden.

Bitte beachten Sie, dass die Ergebnisse nur eine Momentaufnahme darstellen und der Test nach jedem Neu-Aufbau der Internetverbindung daher ggf. wiederholt werden sollte.

Pressekontakt:

Bundesamt für Sicherheit in der Informationstechnik
Postfach 200363
53133 Bonn
Telefon: +49 228 99 9582-5777
Telefax: +49 228 99 9582-5455
E-Mail: presse@bsi.bund.de