Anatomy of DNS: Investigating vulnerabilities and countermeasures from clients to authoritative servers

Abstract

The Domain Name System (DNS) is a critical component of the Internet infrastructure, responsible for translating human-readable domain names into IP addresses. However, DNS has been shown to be vulnerable to various attacks, including traffic analysis, semantic bugs, and denial-of-service (DoS) attacks. This dissertation explores the security and privacy of DNS, with a focus on identifying vulnerabilities and developing effective countermeasures. Our research reveals that encrypted DNS protocols are still susceptible to traffic analysis attacks, despite the use of padding to obscure message sizes. We demonstrate a novel traffic analysis method that can deanonymize website visits with high accuracy, highlighting the need for more effective mitigations. Furthermore, we identify vulnerabilities in recursive DNS resolvers using a mutation-based fuzzer, ResolFuzz, and show that differential fuzzing can be an effective approach to uncovering DNS vulnerabilities. Our work also explores the threat of (D)DoS attacks against DNS infrastructure, including a new application-layer DDoS attack, DNS Unchained, which uses amplification to overload authoritative name servers. We demonstrate the potential for this attack to be combined with pulsing attacks to create a more powerful and harder-to-block attack. Finally, we assess the resilience of authoritative DNS infrastructures against application-layer (D)DoS attacks and propose an anomaly detection defense that can be deployed by upstream ISPs or Internet Exchange Points to mitigate such attacks. Overall, this dissertation contributes to the understanding of DNS security and privacy and provides insights into the development of effective countermeasures to protect this critical infrastructure.

Das Domain Name System (DNS) ist eine wichtige Komponente der Internet-Infrastruktur, die für die Übersetzung von menschenlesbaren Internet-Domains in IP-Adressen zuständig ist. Es wurde gezeigt, dass das DNS für verschiedene Angriffe anfällig ist, darunter die Analyse des Datenverkehrs, semantische Fehler und Denial-of-Service-Angriffe (DoS). In dieser Dissertation werden die Sicherheit und der Datenschutz von DNS erforscht, wobei der Schwerpunkt auf der Ermittlung von Schwachstellen und der Entwicklung wirksamer Gegenmaßnahmen liegt. Unsere Forschung zeigt, dass verschlüsselte DNS-Protokolle trotz der Verwendung von „Padding“ zur Verschleierung der Nachrichtengröße immer noch anfällig für Angriffe zur Verkehrsanalyse sind. Wir demonstrieren eine neuartige Methode zur Analyse des Datenverkehrs, mit der Websitebesuche mit hoher Genauigkeit deanonymisiert werden können, was die Notwendigkeit effektiverer Schutzmaßnahmen aufzeigt. Darüber hinaus identifizieren wir Schwachstellen in rekursiven DNS-Resolvern mithilfe eines mutationsbasierten Fuzzers, ResolFuzz, und zeigen, dass differentielles Fuzzing ein effektiver Ansatz zur Aufdeckung von DNS-Schwachstellen sein kann. Unsere Arbeit erforscht auch die Bedrohung durch (D)DoS-Angriffe gegen die DNS-Infrastruktur, einschließlich eines neuen DDoS-Angriffs auf der Anwendungsebene, DNS Unchained, der die Verstärkung nutzt, um autoritative Namensserver zu überlasten. Wir zeigen, dass dieser Angriff mit gepulsten Angriffen kombiniert werden kann, um einen leistungsfähigeren und schwieriger zu blockierenden Angriff zu schaffen. Abschließend bewerten wir die Widerstandsfähigkeit autoritativer DNS-Infrastrukturen gegen (D)DoS-Angriffe auf der Anwendungsebene und schlagen eine Abwehrmaßnahme zur Erkennung von Anomalien vor, die von vorgelagerten ISPs oder Internet Exchange Points eingesetzt werden kann, um solche Angriffe zu entschärfen. Insgesamt trägt diese Dissertation zum Verständnis der DNS-Sicherheit und des Datenschutzes bei und bietet Einblicke in die Entwicklung wirksamer Gegenmaßnahmen zum Schutz dieser kritischen Infrastruktur.