DNS-Spoofing

dns spoofing

Copyright ┬ę Shutterstock / Virrage Images

Was ist DNS-Spoofing?

DNS-Spoofing ist eine Form von Computer-Hacking, bei der ver├Ąnderte Domain Name System-Daten in den Cache des DNS-Resolvers eingeschleust werden. Dadurch gibt der Nameserver einen falschen Ergebnisdatensatz, zum Beispiel mit einer falschen IP-Adresse zur├╝ck. Dies f├╝hrt dazu, dass der Traffic auf den Computer des Angreifers oder irgendeinen anderen Computer umgeleitet wird. Eine andere Bezeichnung f├╝r DNS-Spoofing ist Cache-Poisoning.

Wie funktioniert die normale DNS-Kommunikation?

DNS steht f├╝r Domain Name System. Das Domain Name System ist einer der wichtigsten Dienste im Internet. Die Hauptaufgabe ist die Beantwortung von Anfragen zur Namensaufl├Âsung. Eine h├Ąufig verwendete Analogie zur Erkl├Ąrung des Domain Name Systems ist, dass es als Telefonbuch f├╝r das Internet dient. Mittels des DNS werden von Menschen lesbare Hostnamen wie beispielsweise www.onlinesolutionsgroup.de in IP-Adressen ├╝bersetzt. Sobald der DNS-Server die entsprechende IP-Adresse gefunden hat, kann die Daten├╝bertragung zwischen dem Client und dem Server der Website beginnen.

Sobald der DNS-Server die Dom├Ąnen-zu-IP-├ťbersetzung gefunden hat, wird diese im DNS-Cache zwischengespeichert. Ein DNS-Cache wird auf einem lokalen Computer, einem Router oder dem DNS-Server des Internetdienstanbieters erstellt, sodass der Zeitaufwand f├╝r die Abfrage der IP einer URL verringert wird. Der DNS-Cache ist also eine Datei, die eine Liste der IP-Adressen von regelm├Ą├čig verwendeten Websites enth├Ąlt.

Bevor Computer mit DNS-Servern Kontakt aufnehmen, kontaktieren die Computer in einem Netzwerk den lokalen Server, um festzustellen, ob ein Eintrag im DNS-Cache vorhanden ist. Wenn es eines gibt, wird dieser verwendet. Andernfalls kontaktiert der Server einen DNS-Server und ruft die IP-Adresse ab. Gleichzeitig wird der lokale DNS-Cache mit der neuesten IP-Adresse f├╝r die Website aktualisiert. An dieser Stelle kann jedoch das DNS-Spoofing zu einem Problem werden, wenn eine falsche DNS-Suche in den Cache des DNS-Servers eingef├╝gt wird, wodurch das Ziel des Besuchers ge├Ąndert wird.

Wie funktioniert DNS-Spoofing?

Durch die Zwischenspeicherung von Webinhalten wird die Leistung sowohl auf der Server- als auch auf der Clientseite verbessert. Allerdings f├╝hrt das im Caching-Mechanismus verwendete HTTP-Protokoll nur auf der Serverseite Integrit├Ątspr├╝fungen durch. Dieser Mangel an Authentifizierung, einschlie├člich von M├Ąngeln in Web-Anwendungen wie DNS-Software, gibt Angreifern die M├Âglichkeit, den DNS-Cache zu “vergiften”. DNS-Spoofing kann mit verschiedenen Methoden ausgef├╝hrt werden. Das Endziel eines Angreifers ist jedoch normalerweise gleich, unabh├Ąngig davon, welche Methode verwendet wird. Entweder sollen Informationen gestohlen werden, Besucher auf eine andere Website umgeleitet oder Malware verbreitet werden. Die am h├Ąufigsten genutzte Methode zum Ausf├╝hren von DNS-Spoofing ist das Cache-Poisoning.

Da DNS-Server die DNS-├ťbersetzung f├╝r ein schnelleres und effizienteres Browsen zwischenspeichern, k├Ânnen Angreifer dies f├╝r DNS-Spoofing nutzen. Wenn ein Angreifer einen gef├Ąlschten DNS-Eintrag in den DNS-Server einschleusen kann, verwenden alle Benutzer diesen gef├Ąlschten DNS-Eintrag, bis der Cache abl├Ąuft. Sobald der Cache abl├Ąuft, wird der DNS-Eintrag auf normal zur├╝ckgesetzt, da der DNS-Server den gesamten DNS-Suchvorgang erneut durchl├Ąuft. Wenn die Software des DNS-Servers jedoch noch nicht aktualisiert wurde, kann der Angreifer diesen Fehler replizieren und die Besucher weiterhin auf seine Website leiten.

Sobald es einem Angreifer gelungen ist, einen DNS-Cache zu vergiften, gibt es verschiedene M├Âglichkeiten, Protokolle, die auf DNS basieren, zu unterlaufen und zum Beispiel Web Traffic umzuleiten. Ein Angriff dieser Art kann von einer einfachen Bel├Ąstigung bis hin zu einem finanziellen Verlust f├╝r eine gro├če Anzahl von Nutzern reichen. Ziel ist es dabei, eine Website zu erstellen, die so aussieht wie das Original, um keinen Verdacht zu erregen. Dann wird die Domain f├╝r viele ISPs mittels Cache-Poisoning gehijacked, was dazu f├╝hrt, dass der Traffic auf der gef├Ąlschten Seite landet. Auf diese Weise k├Ânnen Angreifer an sensible Nutzerdaten gelangen und diese f├╝r ihre Zwecke missbrauchen.

Im Jahr 2013 waren die malaysischen Google-Domains google.my und google.com.my Ziel eines DNS-Cache-Poisoning-Angriffes. Die Angreifer hatten die echten Domain-IPs durch eigene IPs ersetzt. Nutzer, die versuchten, auf eine der Google-Domains zuzugreifen, wurden auf eine Webseite mit der Nachricht weitergeleitet, dass eine pakistanische Hackergruppe f├╝r den Angriff verantwortlich sei. Dieser Angriff dauerte mehrere Stunden, bis das Sicherheitsteam von MYNIC, Malaysias Webadressen-Administrator, die IP-Eintr├Ąge aus dem DNS-Cache entfernte.

In diesem Szenario versucht ein Angreifer, die sichere Kommunikation zwischen zwei Parteien abzufangen. Zum Beispiel m├Âchte Herr XY bei einem Shop einen Online-Kauf t├Ątigen. Der Angreifer vergiftet den Cache beim ISP (Internet Service Provider) von Herrn M├╝ller und zeigt den an den Shop gerichteten Traffic beim Angreifer an. Der Angreifer akzeptiert die eingehende SSL-Verbindung, entschl├╝sselt sie, liest den gesamten Datenverkehr und stellt die gleiche Anfrage per SSL an den Shop. Die Antworten des Shops werden ebenfalls vom Angreifer gelesen und dann ├╝ber dieselbe verschl├╝sselte Verbindung an Herrn XY zur├╝ckgeschickt. Der Angreifer kann so beispielsweise an die Kreditkartennummer von Herrn XY und alle anderen notwendigen Informationen gelangen, um sie illegal zu nutzen.

Cache-Poisoning ist in der Regel nur schwer erkennbar. Wenn die gef├Ąlschte Webseite der Webseite sehr ├Ąhnlich ist, die sie versucht zu imitieren, bemerken die meisten Benutzer den Unterschied meist nicht. Wenn der Angreifer Cache-Poisoning verwendet, um die DNS-Eintr├Ąge eines Unternehmens zu kompromittieren, um dadurch beispielsweise Zugriff auf die E-Mails des Unternehmens zu erhalten, ist dies wie ein Man-in-the-Middle-Angriff f├╝r Internetnutzer praktisch nicht zu erkennen.

Schutzma├čnahmen vor DNS-Spoofing und Cache-Poisoning

Es ist wichtig sicherzustellen, dass alle im DNS-Cache zwischengespeicherten Inhalte f├╝r den Benutzer g├╝ltig und n├╝tzlich sind. Die Besucher einer Webseite k├Ânnen nicht viel tun, um DNS-Spoofing zu verhindern. Vielmehr liegt dies in den H├Ąnden des eigentlichen DNS-Anbieters, der die DNS-Lookups einer Website verarbeitet, sowie in der Verantwortung des Eigent├╝mers der Website. Eine Schutzma├čnahme ist die Implementierung von DNS-Spoofing-Erkennungsmechanismen, mit denen die zu ├╝bermittelnden Daten vor der ├ťbertragung ├╝berpr├╝ft werden.

Tipp

Durch die Verwendung verschl├╝sselter Daten├╝bertragungsprotokolle (SSL / TLS) wird die Wahrscheinlichkeit verringert, dass eine Website und deren Besucher durch DNS-Spoofing kompromittiert werden. Diese Art der Verschl├╝sselung erm├Âglicht es den Benutzern zu ├╝berpr├╝fen, ob das digitale Zertifikat des Servers g├╝ltig ist und zu dem erwarteten Besitzer der Website geh├Ârt. Nicht zuletzt kann die Nutzung von DNSSEC, den Domain Name System Security Extensions, und die Verwendung digital signierter DNS-Datens├Ątze die Datenauthentizit├Ąt sicherstellen. DNSSEC wurde 2010 auf der Internet-Stammebene implementiert. Ein Beispiel f├╝r einen DNS-Dienst, der DNSSEC vollst├Ąndig unterst├╝tzt, ist das ├Âffentliche DNS von Google.┬á


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte