DNS-Spoofing

Was ist DNS-Spoofing?

Das DNS-Spoofing beziehungsweise das Cache-Poisoning stellen eine Form der Internetkriminalität dar. Sie umfasst eine Reihe von Methoden, mit denen Cyber-Angreifer Attacken auf Endbenutzer starten. Ziel des DNS-Spoofings ist es, unwissenden Internet-Nutzern Webseiten mit gefälschten oder vorgeblichen Inhalten zu liefern. Auf diese Weise können Nutzer zu unwissenden Mittätern werden. Dies wirft die Fragen auf, wie diese spezielle Form des Spoofings funktioniert und wie Endnutzer sich effizient dagegen zur Wehr setzen können.

Überblick und Allgemeines

Das DNS-Spoofing ist bereits seit einigen Jahren bekannt und sorgte insbesondere zur Anfangszeit des Internets für Probleme. Internetkriminelle finden in immer kürzeren Abständen neue Mittel und Wege, um nichtsahnende Internetnutzer für ihre Zwecke auszunutzen. In den jüngsten Jahren haben einige ältere Formen der Internetkriminalität wieder an Popularität gewonnen. Auch das DNS-Spoofing gehört zu den Methoden, die sich zuletzt unter Cyber-Angreifern wieder zunehmender Verwendung erfreuen. Das DNS-Spoofing hat in der Frühphase des Internets besonders die Naivität der Internet-User ausgenutzt, die gutgläubig bestimmte Seiten aufgerufen haben. Das Wissen um Sicherheit im Internet war deutlich weniger verbreitet und Sicherheitsexperten waren seltener anzutreffen als heute.

Gefälschte Daten auf Ihrem Computer

DNS-Spoofing gibt es seit der Anfangszeit des Internets. Mit der zunehmenden Komplexität und der höheren Vorsicht der User hat DNS-Spoofing einen Wandel erfahren. Im Kern geht es darum, gefälschte Daten auf den Computer eines Webseiten-Besuchers zu laden. Mindestens geht es darum, dem Besucher falsche Inhalte (etwa im Bereich Finanzen oder Anlage) zu präsentieren oder an die Daten der User zu gelangen.

Auch die heutigen Beispiele durch erfolgreiche Anwendung dieser Angriffsform belegen, dass das DNS-Spoofing eine ernst zu nehmende Gefahr bleibt. Überdies gilt es zu berücksichtigen, dass auf der Basis des DNS-Spoofings eine Reihe verwandter neuer Methoden und Techniken entwickelt worden sind. Die noch heute häufig anzutreffenden Man-in-the-Middle-Attacken basieren auf dem Grundprinzip des DNS-Spoofings und finden weiterhin Anwendung in der Online-Kriminalität.

Ziele des DNS-Spoofings

Verallgemeinernd lässt sich feststellen, dass das DNS-Spoofing im Wesentlichen darauf abzielt, gefälschte Daten auf den Computer eines Webseiten-Besuchers zu laden. Beim Zugang zur entsprechend manipulierten Webpräsenz gelangen die Daten bereits auf den Rechner. Um dies zu gewährleisten, laden Internet-Kriminelle manipulierte Dokumente in den Nameserver.

Ziel der Hacker und Angreifer ist meist ein Zugriff auf die Daten der Besucher. Im Mindesten besteht das Ziel darin, Nutzern die gefälschten Inhalte der Seite zu präsentieren. Da Internetseiten häufig primäre Informationsquelle zu bestimmten Themengebieten für Nutzer sind, ist der Manipulationsspielraum groß. Viele Nutzer informieren sich zu sensiblen Fragen vorrangig im Internet. Geht es etwa um Finanzen und Anlagestrategien, kann durch die Ausspielung gefälschter Inhalte hoher persönlicher Schaden entstehen.

Begriffliche Abgrenzung

DNS-Spoofing und Cache-Poisoning werden im alltäglichen Sprachgebrauch meist synonym verwendet. Dennoch sind die beiden Begriffe technisch voneinander abzugrenzen. DNS-Spoofing stellt den Oberbegriff dar. Das DNS-Cache-Poisoning ist in diesem Zusammenhang eine von zahlreichen Methoden des Spoofings.

Die große Reihe von Angriffs-Methoden unter der Bezeichnung DNS-Spoofing hat bestimmte gemeinsame Eigenschaften. In all diesen Angriffen geht es um die Ersetzung der Informationen, die auf DNS-Servern hinterlegt sind. Der Server-Cache wird unter Zuhilfenahme eines zusätzlichen (falschen) Records manipuliert. Für das DNS-Spoofing als letztliches Ziel eines Angriffs kommen mehrere Methoden und Szenarien in Frage.

Neben dem DNS-Cache-Poisoning sind auch IMSI-Catcher und Man-in-the-Middle-Attacken wichtige Bedrohungen. Ebenso können Sicherheitssysteme der DNS-Server kompromittiert werden. Das DNS-Spoofing kann sich als Attacke auch unmittelbar gegen die Internetnutzer richten. Hierbei können etwa Adressen von DNS-Servern im Router oder im Betriebssystem durch gefälschte ersetzt werden. Im Normalfall werden DNS-Server vom Internet-Provider vorgegeben. Ebenso besteht die Möglichkeit, den Router selbst individuell zu konfigurieren.

Spezialfall Cache-Poisoning

Die spezielle Spoofing-Methode des Cache-Poisonings nutzt eine Situation aus, in der eine größere Anzahl an Endnutzern auf denselben Cache zugreift. Dieser Cache enthält Register. In diesen wird jeder IP-Adresse eine spezifische Domain zugeordnet.

Daher ist es möglich, dass ein Hacker oder Angreifer Zugriff auf einen Registereintrag erlangt und diesen manipulieren kann. Der Internet-Service-Provider stuft den Cache als vertrauenswürdig ein. Bei einer gelingenden Attacke wird der Cache auch dann als vertrauenswürdig deklariert, wenn der Registereintrag manipuliert wurde.

In diesem Falle ist er mit einer nicht zugehörigen Webseite, meist eine Fake-Webseite, verknüpft. In einem solchen Falle des Cache-Poisonings erfolgt nicht die gewünschte Weiterleitung des Traffics an die reguläre IP-Adresse. Bei der Auflösung des Domain-Namens kommt es zur Weiterleitung an eine andere IP-Adresse, da diese Adresse ausgetauscht worden ist. Diese Form von Cache-Poisoning lässt sich nur unter höherem technischem Aufwand umsetzen als Spoofing-Attacken auf Heim-PCs- oder -Router.

Im Rahmen des DNS-Cache-Poisoning stellt die Ausbreitung ein besonderes Problem dar. Die Attacke breitet sich auf mehrere unterschiedliche DNS-Server aus. Im Zuge dessen können auch Heim-Systeme und Router betroffen sein. Dies betrifft dann ebenso den bereits existierenden Cache im DNS-System des Nutzers. Router erhalten die verbreitete manipulierte oder gefälschte Information. Der lokale Cache wird dabei um die gefälschte Information ergänzt oder durch diese ersetzt.

Funktionsweise des DNS-Spoofing

Jeder Webseiten-Aufruf stellt eine Interaktion des Benutzers mit einem Nameserver dar. Diese Interaktion erfolgt noch bevor der Nutzer mit dem Server der eigentlichen Seite interagiert. Der Nameserver beinhaltet die Daten, durch die IP-Adressen in Domains umgewandelt werden. Diese entsprechen beispielsweise der Eingabe in die Browser-Adresszeile. Die Nameserver beinhalten eine große Zahl verschiedener Daten, die an die Computer der User geliefert werden.

Kommt es zu einer DNS-Spoofing-Attacke, verschaffen sich Internet-Kriminelle zunächst Zugriff auf einen solchen Nameserver. Er greift die Konfiguration an beziehungsweise manipuliert diese. Auf diese Weise werden nicht nur die ursprünglichen und gewünschten Informationen der Internetseite geliefert, wenn sie aufgerufen wird. Die vom Nameserver ausgehenden Daten werden auf dem PC des Users gespeichert, weshalb sich der Rechner des Anwenders später noch an diese Daten erinnert und sie nutzt.

Ruft der User nun später eine andere Internetseite auf, kommen die durch das DNS-Spoofing gelieferten Daten ins Spiel. Diese bewirken, dass er auf einer anderen als der gewünschten Seite landet. Diese Fake-Seiten befinden sich unter dem Einfluss der Angreifer. Meistens sind sie so gestaltet, dass sie der gewünschten Seite auf den ersten Blick stark ähneln.

Besonders kritisch wird dies, wenn es sich um Seiten handelt, die mit sensiblen Daten arbeiten. Ein Beispiel wäre der Log-in im Online-Banking. Gibt ein Nutzer seine Daten ein, können Angreifer auf die Daten auf den manipulierten Seiten zugreifen und sie für ihre Zwecke nutzen. Aufgrund der hohen Ähnlichkeit der Fake-Internetseiten zu den Originalen geschieht dies ohne Mitwissen des Anwenders, da die Unterschiede nur schwer zu identifizieren sind.

Problematik und Risiken

Die vielseitigen Gefahren, die vom DNS-Poisoning ausgehen, reichen von Datendiebstahl, über Infektion des Computers mit Viren bis zur Blockade von Sicherheitsupdates. Besonders beliebtes Ziel sind Online-Banking-Seiten, andere Zahlungsdienstleister und Online-Händler.

Aufgrund gefälschter Seiten und der Möglichkeit, sensible Daten abzufangen, sind nicht nur Passwörter sondern beispielsweise auch Kreditkartendaten gefährdet. Auch die Seiten von IT-Security-Anbietern können betroffen sein. In diesem Falle sind zusätzliche Bedrohungen möglich, da keine erforderlichen Sicherheitsmaßnahmen mehr erfolgen. So wird der Einfall von Viren, Würmern und Trojanern erleichtert.

Gefahrenabwehr und Maßnahmen gegen DNS-Spoofing

Als eine der frühen Bedrohungen aus der Anfangszeit des Internets werden dem DNS-Spoofing mehrere Arten von Abwehrmaßnahmen entgegengesetzt. Eine der Methoden umfasst die Verschlüsselung sensibler Daten und Inhalte. Ein anderer Entwurf setzt beim Nameserver direkt an. Dieser sendet im Rahmen einer DNS-Anfrage mehrere Informationen zufälliger Art mit. Da diese Zufallsinformationen dem potentiellen Angreifer nicht bekannt sind und er sie erst erraten müsste, bewirkt diese Abwehrstrategie einen deutlichen Zugewinn an Schutz vor DNS-Spoofing-Attacken.

Sollte es doch zu einer erfolgreichen DNS-Spoofing-Attacke kommen, so ist die Beseitigung problematisch, da der infizierte Server und der Rechner der Benutzer betroffen sind. Auch ein bereinigter PC ist beim Aufbau einer Verbindung zu einem infizierten Server wiederum betroffen.

Fazit:

PC-Anwender selbst können durch umsichtiges Verhalten dazu beitragen, Cache-Poisoning und andere Formen von DNS-Spoofing zu vermeiden. Regelmäßige Sicherheits-Scans des Computers auf Bedrohungen und Schadsoftware sowie das Vermeiden unbekannter Links oder unsicherer Webseiten tragen dazu bei, die Gefahren abzuwehren beziehungsweise gar nicht erst entstehen zu lassen. Auf Webseiten tragen Zertifikate wie etwa HTTPS dazu bei, sichere Seiten zu erkennen.

Sie haben noch Fragen?

Kontaktieren Sie uns