Frühere Untersuchungen haben gezeigt, dass es möglich ist, fragmentierte DNS-Antwortnachrichten zu verwenden, um falsche oder manipulierte Daten in den Cache eines DNS-Resolvers einzufügen. Dieser Prozess wird als Cache-Poisoning bezeichnet. Da DNS-Auflösung in der Regel der erste Schritt der regelmäßigen Internet-Kommunikation ist, hat die Manipulation des Cache eines Resolvers das Potenzial, die Internetkommunikation seiner Clients auf Systeme umzuleiten, die unter der Kontrolle des Angreifers stehen.

DNS-Fragmentierungsangriffe erfordern bestimmte Voraussetzungen, um erfolgreich zu sein. Obwohl bekannt ist, dass ein Cache-Poisoning durch DNS-Fragmentierung technisch möglich ist, war vor dieser Studie unklar, ob die notwendigen Voraussetzungen häufig im Internet auftreten können. Daher war ebenso unklar, ob dieser Angriffsvektor eine reale und relevante Bedrohung darstellt. Darüber hinaus wurden zwar über Minderungsmaßnahmen diskutiert, aber ihre Wirksamkeit und ihre Auswirkungen auf die Leistung wurden nicht im Detail untersucht.

Die in dieser Studie vorgestellten Untersuchungen testeten die Voraussetzungen aus zwei Gesichtspunkten:

• Aus Sicht des maßgeblichen DNS-Servers: Die Studie untersuchte Millionen autoritativer DNS-Server, um festzustellen, ob diese Server mit relativ großen DNS-Nachrichten reagieren. Die Domains, von denen wir fragmentierte Antworten erhielten, wurden gegen die Tranco-Liste gewichtet
• Aus Sicht des DNS-Resolvers: Der DNS-Verkehr eines großen ISP in Deutschland wurde für einen Zeitraum von 24 Stunden überwacht, um zu messen, wie viele fragmentierte DNS-Antworten im realen Internetverkehr zu sehen sind.

Studie: IP Fragmentation and Measures against DNS Cache Poisoning (Frag-DNS)