© istockphoto.com/lvcandy
Rund ums Domain Name System sind viele Angriffe möglich

Angriffsziel DNS


Das Domain Name System (DNS) ist quasi das Telefonbuch des Internets. Niemand merkt sich IP-Adressen, stattdessen werden Domainnamen verwendet. Indem beim zuständigen Nameserver nachgefragt wird, welche Adresse zu einem bestimmten Namen gehört, werden Domain Names in die IP-Adressen der zugehörigen Server umgewandelt.

Wenn der Nameserver auf diese Anfrage eine falsche Antwort zurückliefert, landen Sie auf einen Server, auf den Sie nie wollten. Sie halten ihn aber für den richtigen, wenn die Fälschung gut genug gemacht ist. Das einzige, was Sie dann noch vor einem Irrtum schützt, ist SSL/TLS – theoretisch, denn es gibt immer wieder Möglichkeiten, den Schutz auszuhebeln.

Die einfachste Möglichkeit, um falsche DNS-Antworten unterzuschieben, ist die Änderung des von Ihrem Rechner verwendeten Nameservers. Entsprechende Schadsoftware wird oft als „DNS-Changer“ bezeichnet [1], und davon gibt es viele verschiedene Varianten [2]. Ebenso ist es zum Beispiel möglich, dass die Kriminellen darauf warten, dass in Ihrem Rechner ein Bit seinen Zustand wechselt und Sie auf einen falschen Server führt. Das ist gar nicht so unwahrscheinlich wie man erwarten würde, wie unten vorgestellte aktuelle Forschungsergebnisse zeigen.

Falsche Antworten sind aber nicht der einzige mögliche Angriff auf bzw. über das DNS. Ebenso ist es möglich, dass Schwachstellen im Nameserver oder Client über DNS-Abfragen bzw. -Antworten ausgenutzt werden, um zum Beispiel Code einzuschleusen und auszuführen oder einen DoS auszulösen. Während ein Nameserver direkt durch das Senden entsprechend präparierter Anfragen angegriffen werden kann, muss für Angriffe auf Clients die Antwort auf eine DNS-Anfrage präpariert werden. Ein Man-in-the-Middle-Angriff kann die Antworten auf DNS-Anfragen an beliebige Nameserver entsprechend manipulieren. Ein entfernter Angreifer kann einen eigenen Nameserver einrichten, der auf Anfragen mit entsprechend präparierten Paketen antwortet. Dann muss er den Client nur noch dazu bringen, eine DNS-Anfrage an diesen Nameserver zu schicken. Dazu kann zum Beispiel auf einer Webseite ein Bild oder Skript von einer Domain eingebunden werden, für die der bösartige Nameserver zuständig ist. Vor dem Laden der Ressource muss der Rechner den Domainnamen auflösen und dazu den bösartigen Nameserver kontaktieren.

Ein weiteres Problem im DNS sind bösartige Einträge – zum Beispiel Typosquatting-Domains, bei denen Cyberkriminelle Domains registrieren, die sich von bekannten Domains nur durch ü...

Neugierig geworden?

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang