DNS-basiertes Identifizieren von Software

Kontakt

Telefon

work
+49 241 80 20788

E-Mail

E-Mail
 

Alle mit dem Internet verbundenen Geräte benutzen das Domain Name System, kurz DNS, um für Menschen lesbare Domains in IP-Adressen zu übersetzen. Da das DNS-Protokoll üblicherweise nicht verschlüsselt ist, DNS-Server sich oft außerhalb der Netzwerke befinden, und vor den meisten Netzwerkverbindungen eine DNS-Anfrage erfolgt, ist es möglich, Software anhand dieser Anfragen beziehungsweise Netzwerkverbindungen durch die passive Analyse von DNS-Verkehr zu identifizieren.

DONUT, kurz für Domain Oriented Network Unmasking Tool, ist ein Tool, um Geräte, Betriebssysteme, Applikationen und Netzwerkstrukturen mithilfe von DNS Verkehr zu identifizieren. Das Tool ist modular aufgebaut und benutzt einen regelbasierten Ansatz, um softwarespezifisches Verhalten zu erkennen, wodurch es sehr leicht erweiterbar ist. Zusätzlich zum Identifizieren von Software ermöglicht DONUT das Erkennen von NAT-Konfigurationen sowie teilweise das de-NATen von DNS-Verkehr.

Unsere aktuelle Forschung befasst sich mit dem Erweitern der Regeln, dem Verbessern des de-NATen, der automatisieren Analyse von softwarespezifischem Verhalten, sowie dem Evaluieren von anderen Ansätzen, um Software zu identifizieren, etwa durch Analyse anderer Protokolle sowie dem Benutzen von machine learning.