Ανάπτυξη βιβλιοθήκης επίλυσης DNS ερωτημάτων με βάση την φήμη

Abstract

The purpose of this thesis is the design and implementation of a reputation-driven DNS stub-resolver. The library aims to verify IP addresses returned by a DNS query. In order to achieve this, TLS and UDP protocols are used. We compare the DNS responses returned by checked public recursive resolvers, with the IP addresses that the Regional Internet Registry RIPE returns. If the IP addresses mismatch, the common DNS query is repeated to a different recursive name server until they are the same.

Ένας χρήστης χρησιμοποιεί το πρωτόκολλο DNS όταν δίνει ως είσοδο ένα όνομα χώρου (domain name) και λαμβάνει την αντίστοιχη διεύθυνση IP. Η συγκεκριμένη διαδικασία αντιστοιχίσης έχει κενά ασφαλείας. Ένας κακόβουλος χρήστης μπορεί να τα εκμεταλλευτεί και να αλλάξει γνήσιες διευθύνσεις IP με ψεύτικες της επιλογής του. Αυτή η επίθεση ονομάζεται επίθεση δηλητηρίασης προσωρινής μνήμης (cache poisoning). Μπορεί να πραγματοποιηθεί στο τελικό χρήστη ή σε έναν DNS αναλυτή (recursive DNS resolver), που στη συνέχεια με τη σειρά του θα τροφοδοτεί πολλαπλούς χρήστες με ψεύτικες και κακόβουλες διευθύνσεις IP.

Ο σκοπός της παρούσας διπλωματικής εργασίας είναι η σχεδίαση και υλοποίηση μιας βιβλιοθήκης επίλυσης DNS ερωτημάτων με βάση την φήμη. Η βιβλιοθήκη στοχεύει στην επαλήθευση διευθύσεων IP που αναλύονται από ένα DNS ερώτημα. Για να επιτευχθεί αυτό, χρησιμοποιούνται τα πρωτόκολλα TLS και UDP. Ουσιαστικά, πραγματοποιείται σύγκριση των απαντήσεων DNS, από ελεγμένους δημόσιους αναδρομικούς εξυπηρετητές, με τις απαντήσεις του Ευρωπαϊκού καταχωρητή διευθύνσεων RIPE. Σε περίπτωση ασυμφωνίας των διευθύνσεων IP επαναλαμβάνεται το DNS ερώτημα σε διαφορετικό δημόσιο αναδρομικό εξυπηρετητή ονομάτων.

Η βιβλιοθήκης επίλυσης DNS ερωτημάτων εφαρμόζεται στην πλευρά του τελικού χρήστη και δεν χρειάζονται τροποποιήσεις στο πρωτόκολλο DNS και στους αναδρομικούς εξυπηρετητές. Η χρήση του συνιστάται για σημαντικά ερωτήματα ονομάτων, όπως π.χ. ονόματα σχετικά με υπηρεσίες ebanking και προσφέρει ασφαλείς απαντήσεις με βασικό αντίτιμο τη καθυστέρηση στο χρόνο επίλυσης. Προστατεύει το τελικό χρήστη από επιθέσεις δηλητηρίασης προσωρινής μνήμης που συμβαίνουν σε αναδρομικούς εξυπηρετητές και από επιθέσεις παραποίηση στο τοπικό δίκτυο.