DNS-Cache-Poisoning, auch bekannt als DNS-Spoofing, ist ein Angriffstyp, bei dem ein Angreifer falsche Einträge in den DNS-Cache eines DNS-Servers einschleust. Diese falschen Einträge führen dazu, dass Nutzer, die versuchen, eine legitime Website zu erreichen, stattdessen auf eine vom Angreifer kontrollierte bösartige Seite umgeleitet werden. Dies kann dazu benutzt werden, um persönliche Daten zu stehlen, Malware zu verbreiten oder den Datenverkehr zu überwachen. Der Angriff nutzt Sicherheitslücken im DNS-Protokoll aus, um den Cache des Servers mit gefälschten Adresszuweisungen zu „vergiften“.
DNS-Cache-Poisoning (DNS-Spoofing) erfolgt typischerweise durch Ausnutzen von Schwächen im Domain Name System (DNS), einem der grundlegenden Bausteine des Internets, das für die Umsetzung von Domainnamen (wie www.example.com) in IP-Adressen (wie 192.0.2.1) zuständig ist. Hier ist eine detaillierte Erklärung, wie Angreifer das schaffen:
Schritte des DNS-Cache-Poisoning
- Abfangen einer DNS-Anfrage: Der Angreifer wartet darauf, dass ein DNS-Resolver (oft ein Server Ihres Internetanbieters) eine Anfrage nach der IP-Adresse einer bestimmten Domain stellt. Diese Anfrage wird üblicherweise ausgelöst, wenn ein Benutzer versucht, eine Webseite zu besuchen.
- Fälschung der Antwort: Bevor der legitime DNS-Server antworten kann, sendet der Angreifer eine gefälschte Antwort zurück zum DNS-Resolver. Diese Antwort enthält falsche Informationen, z.B. die IP-Adresse einer vom Angreifer kontrollierten bösartigen Webseite statt der echten IP-Adresse der angefragten Domain.
- Übernahme des Cache: Wenn die gefälschte Antwort den DNS-Resolver zuerst erreicht, wird sie als legitim betrachtet. Der Resolver speichert die falschen Informationen in seinem Cache, einem Speicherort, der dazu dient, häufig benötigte DNS-Anfragen schnell beantworten zu können. Zukünftige Anfragen nach derselben Domain werden dann mit der falschen IP-Adresse beantwortet.
- Umlenkung der Benutzer: Jeder Benutzer, der die kompromittierte Domain anfragt, wird unbewusst auf die bösartige Website umgeleitet. Dies kann dazu verwendet werden, Phishing-Angriffe durchzuführen, Malware zu verbreiten oder vertrauliche Informationen zu stehlen.
Techniken und Schwachstellen
- Schnelligkeit der Antwort: Einer der Schlüssel zum Erfolg eines DNS-Poisoning-Angriffs ist es, schneller als der echte DNS-Server zu antworten. Angreifer nutzen oft schnelle Netzwerkverbindungen oder führen den Angriff nahe am Ziel durch.
- Ausnutzung von Sicherheitslücken: Ältere oder schlecht konfigurierte DNS-Server, die nicht gegen solche Angriffsarten geschützt sind, sind besonders anfällig. Server, die nicht über Mechanismen zur Überprüfung der Authentizität von DNS-Antworten verfügen (wie DNSSEC, eine Erweiterung des DNS-Protokolls, die Sicherheitsverbesserungen bietet), können leichter angegriffen werden.
- Verwendung von Zufälligkeiten: Früher waren viele DNS-Implementierungen in ihrer Auswahl von Transaktions-IDs und anderen Werten, die zur Unterscheidung zwischen verschiedenen Anfragen dienen, nicht ausreichend zufällig. Angreifer konnten diese Vorhersehbarkeit ausnutzen, um ihre gefälschten Antworten passender zu machen.
Das DNS-Cache-Poisoning ist ein mächtiges Werkzeug für Cyberkriminelle, da es ermöglicht, viele Benutzer gleichzeitig zu beeinflussen, ohne dass diese etwas davon merken. Daher ist es wichtig, dass DNS-Server gut gesichert und auf dem neuesten Stand gehalten werden, um solche Angriffe zu verhindern.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: