DNS steht für Domain Name System und hilft einem Browser dabei, die IP-Adresse einer Website herauszufinden, damit er sie auf Ihren Computer laden kann. DNS-Cache ist eine Datei auf Ihrem oder dem Computer Ihres ISP, die eine Liste der IP-Adressen regelmäßig genutzter Websites enthält. In diesem Artikel wird erklärt, was DNS-Cache-Poisoning und DNS-Spoofing sind.
DNS-Cache-Poisoning
Jedes Mal, wenn ein Benutzer eine Website-URL in seinen Browser eingibt, kontaktiert der Browser eine lokale Datei (DNS-Cache), um zu sehen, ob ein Eintrag zum Auflösen der IP-Adresse der Website vorhanden ist. Der Browser benötigt die IP-Adresse der Websites, damit er eine Verbindung zur Website herstellen kann. Es kann nicht einfach die URL verwenden, um eine direkte Verbindung zur Website herzustellen. Es muss in eine richtige IPv4- oder IPv6-IP-Adresse aufgelöst werden. Wenn der Datensatz vorhanden ist, wird er vom Webbrowser verwendet; Andernfalls wird ein DNS-Server aufgerufen, um die IP-Adresse abzurufen. Dies wird als DNS-Suche bezeichnet.
Auf Ihrem Computer oder dem DNS-Servercomputer Ihres ISP wird ein DNS-Cache erstellt, sodass der Zeitaufwand für die Abfrage des DNS einer URL reduziert wird. Grundsätzlich handelt es sich bei DNS-Caches um kleine Dateien, die die IP-Adressen verschiedener Websites enthalten, die häufig auf einem Computer oder Netzwerk verwendet werden. Bevor Computer in einem Netzwerk eine Verbindung zu DNS-Servern herstellen, kontaktieren sie den lokalen Server, um zu prüfen, ob ein Eintrag im DNS-Cache vorhanden ist. Wenn es eines gibt, wird es von den Computern verwendet; Andernfalls kontaktiert der Server einen DNS-Server und ruft die IP-Adresse ab. Anschließend wird der lokale DNS-Cache mit der neuesten IP-Adresse für die Website aktualisiert.
Für jeden Eintrag in einem DNS-Cache ist ein Zeitlimit festgelegt, das vom Betriebssystem und der Genauigkeit der DNS-Auflösungen abhängt. Nach Ablauf der Frist kontaktiert der Computer oder Server, der den DNS-Cache enthält, den DNS-Server und aktualisiert den Eintrag, sodass die Informationen korrekt sind. Es gibt jedoch Personen, die den DNS-Cache für kriminelle Aktivitäten vergiften können.
Den Cache vergiften bedeutet, die tatsächlichen Werte von URLs zu ändern. Cyberkriminelle können beispielsweise eine Website erstellen, die beispielsweise so aussieht: xyz.com und geben Sie den DNS-Eintrag in Ihren DNS-Cache ein. Also, wenn Sie tippen xyz.com In der Adressleiste des Browsers erfasst dieser die IP-Adresse der gefälschten Website und leitet Sie dorthin statt zur echten Website. Dies nennt man Pharming. Mit dieser Methode können Cyberkriminelle Ihre Anmeldedaten und andere Informationen wie Kartendaten, Sozialversicherungsnummern, Telefonnummern und mehr für Identitätsdiebstahl erbeuten. DNS-Poisoning wird auch durchgeführt, um Malware in Ihren Computer oder Ihr Netzwerk einzuschleusen. Sobald Sie mit einem manipulierten DNS-Cache auf einer gefälschten Website landen, können die Kriminellen alles tun, was sie wollen.
Manchmal können Kriminelle anstelle des lokalen Caches auch gefälschte DNS-Server einrichten, um bei Abfragen gefälschte IP-Adressen auszugeben. Hierbei handelt es sich um eine hochgradige DNS-Vergiftung, die die meisten DNS-Caches in einem bestimmten Bereich beschädigt und dadurch viel mehr Benutzer betrifft.
Lesen über: Comodo Secure DNS | OpenDNS | Öffentliches DNS von Google | Yandex Secure DNS | Engel DNS.
DNS-Cache-Spoofing
DNS-Spoofing ist eine Angriffsart, bei der DNS-Serverantworten nachgeahmt werden, um falsche Informationen einzuschleusen. Bei einem Spoofing-Angriff versucht ein böswilliger Benutzer zu erraten, dass ein DNS-Client oder -Server eine DNS-Anfrage gesendet hat und auf eine DNS-Antwort wartet. Bei einem erfolgreichen Spoofing-Angriff wird eine gefälschte DNS-Antwort in den Cache des DNS-Servers eingefügt, ein Vorgang, der als Cache-Poisoning bezeichnet wird. Ein gefälschter DNS-Server hat keine Möglichkeit, die Authentizität der DNS-Daten zu überprüfen und antwortet aus seinem Cache mit den gefälschten Informationen.
DNS-Cache-Spoofing klingt ähnlich wie DNS-Cache-Poisoning, es gibt jedoch einen kleinen Unterschied. Beim DNS-Cache-Spoofing handelt es sich um eine Reihe von Methoden, mit denen ein DNS-Cache vergiftet wird. Hierbei könnte es sich um einen erzwungenen Zugriff auf den Server eines Computernetzwerks handeln, um den DNS-Cache zu ändern und zu manipulieren. Dabei könnte es sich um die Einrichtung eines gefälschten DNS-Servers handeln, sodass bei Anfragen gefälschte Antworten versendet werden. Es gibt viele Möglichkeiten, einen DNS-Cache zu verfälschen, und eine der häufigsten Methoden ist DNS-Cache-Spoofing.
Lesen: So finden Sie mithilfe von ipconfig heraus, ob die DNS-Einstellungen Ihres Computers kompromittiert wurden.
DNS-Cache-Poisoning – Prävention
Es stehen nicht viele Methoden zur Verhinderung einer DNS-Cache-Vergiftung zur Verfügung. Die beste Methode ist Erweitern Sie Ihre Sicherheitssysteme damit kein Angreifer Ihr Netzwerk kompromittieren und den lokalen DNS-Cache manipulieren kann. Benutze einen gute Firewall das DNS-Cache-Poisoning-Angriffe erkennen kann. Leeren des DNS-Cache Häufig ist dies auch eine Option, die einige von Ihnen möglicherweise in Betracht ziehen.
Abgesehen von der Erweiterung der Sicherheitssysteme sollten Administratoren dies auch tun ihre Firmware und Software aktualisieren um die Sicherheitssysteme auf dem neuesten Stand zu halten. Betriebssysteme sollten mit den neuesten Updates gepatcht werden. Es sollte kein ausgehender Link Dritter vorhanden sein. Der Server sollte die einzige Schnittstelle zwischen dem Netzwerk und dem Internet sein und sich hinter einer guten Firewall befinden.
Der Vertrauensbeziehungen von Servern im Netzwerk sollten nach oben verschoben werden, damit sie nicht irgendeinen Server nach DNS-Auflösungen fragen. Auf diese Weise könnten nur Server mit echten Zertifikaten mit dem Netzwerkserver kommunizieren und gleichzeitig DNS-Server auflösen.
Der Zeitraum Jeder Eintrag im DNS-Cache sollte kurz sein, damit DNS-Einträge häufiger abgerufen und aktualisiert werden. Dies kann dazu führen, dass die Verbindung zu Websites (zeitweise) länger dauert, verringert jedoch die Wahrscheinlichkeit, dass ein vergifteter Cache verwendet wird.
DNS-Cache-Sperre sollte auf Ihrem Windows-System auf 90 % oder mehr konfiguriert sein. Mit der Cache-Sperre in Windows Server können Sie steuern, ob Informationen im DNS-Cache überschrieben werden können oder nicht. Sehen TechNet für mehr dazu.
Benutzen Sie die DNS-Socket-Pool da es einem DNS-Server ermöglicht, bei der Ausgabe von DNS-Abfragen die Quellport-Randomisierung zu verwenden. Dies biete eine erhöhte Sicherheit gegen Cache-Poisoning-Angriffe, heißt es TechNet.
Domain Name System Security Extensions (DNSSEC) ist eine Suite von Erweiterungen für Windows Server, die dem DNS-Protokoll mehr Sicherheit verleihen. Mehr dazu können Sie hier lesen Hier.
Es gibt zwei Tools, die Sie interessieren könnten: F-Secure Router Checker prüft auf DNS-Hijacking und WhiteHat-Sicherheitstool überwacht DNS-Hijackings.
Was ist DNS-Spoofing und DNS-Hijacking?
DNS-Spoofing und DNS-Hijacking sind zwei verschiedene Begriffe. DNS-Spoofing ist die Methode, mit der der DNS-Cache vergiftet wird. Beim DNS-Spoofing versuchen Hacker, eine gefälschte DNS-Antwort in den DNS-Server-Cache einzufügen. Hacker nutzen DNS-Spoofing, um Benutzer auf gefälschte bösartige Websites umzuleiten und so an vertrauliche Informationen wie Kreditkartendaten zu gelangen. DNS-Hijacking ist ein Versuch, die Kontrolle über den DNS-Server des Clients zu übernehmen.
Was ist ein Beispiel für DNS-Spoofing?
Angenommen, Sie besuchen die Website Ihrer Bank. Der Angreifer könnte die IP-Adresse der Zielwebsite ändern und Sie so auf die gefälschte Website umleiten. Diese gefälschte Website wurde vom Hacker erstellt und sieht genauso aus wie die Original-Website. Wenn Sie nun Ihre Bankdaten auf dieser Website eingeben, sind diese Informationen für den Hacker sichtbar.
Jetzt lesen: Was ist DNS-Hijacking?
Beobachtungen und Kommentare sind willkommen.