DNS steht für „Domain Name System“ und ist eine Art Index oder Telefonbuch für das Internet. Damit Sie auf Online-Informationen zugreifen können, übersetzt das DNS eine eingegebene Internetadresse (z. B. kaspersky.com), also den Domänennamen, in die entsprechende IP-Adresse. Denn diese Adresse benötigt der Browser, um Internetressourcen wie zum Beispiel diesen Artikel, den Sie gerade lesen, laden zu können. DNS ist ein weltweites System, das alle Webseiten im Internet nachverfolgt, katalogisiert und reguliert.
Um ein genaueres Bild davon zu bekommen, was das DNS ist, müssen wir uns seine Funktionsweise anschauen. Dazu müssen zunächst ein paar Begriffe geklärt werden:
Die IP-Adresse (Internet Protocol) ist eine Nummer, die jeden Computer und Server eindeutig kennzeichnet. Über diese Nummer können Rechner einander finden und miteinander „sprechen“.
Eine Domäne (oder ein Domänenname) ist ein Textname, den Menschen verwenden, um sich bestimmte Webseiten und deren Server zu merken, sie zu identifizieren und eine Verbindung zu ihnen herzustellen. So wird eine Domäne wie „www.kaspersky.com“ beispielsweise verwendet, um die tatsächliche ID des Zielservers – d. h. seine IP-Adresse – verständlicher darzustellen.
Als Domain Name System-Server (DNS-Server oder Domain-Nameserver) wird eine Gruppe von vier Servertypen bezeichnet, über die der Suchvorgang, d. h. die Auflösung eines Domänenamens in die numerische IP-Adresse erfolgt. Diese Gruppe besteht aus einem auflösenden Nameserver, einem Root-Nameserver, einem TLD-Nameserver (Top-Level-Domain) und einem autoritativen Nameserver. Welche Aufgaben diese einzelnen Server haben, soll im Folgenden erläutert werden.
Nachdem wir nun definiert haben, was DNS ist und uns welche Server darin involviert sind, können wir uns jetzt die Funktionsweise genauer anschauen.
Wenn Sie einen Domänennamen in Ihrem Browser eingeben, um eine Webseite aufzurufen, setzen Sie damit einen Suchprozess in Gang, der „Lookup“ genannt wird. Der gesamte Suchvorgang erfolgt in 6 Phasen:
Der DNS-Lookup-Prozess ist der grundlegende Vorgang, nach dem das gesamte Internet funktioniert. Leider können Kriminelle Schwachstellen im DNS ausnutzen. Für den Benutzer bedeutet das, dass er ständig vor möglichen Betrügereien über unerwünschte Weiterleitungen, die auch als „Spoofing“ und „Poisoning“ bezeichnet werden, auf der Hut sein muss. Um dieser Gefahr zu entgehen, ist es wichtig zu wissen, was man unter DNS-Spoofing und DNS-Poisoning versteht und wie diese Betrugsmaschen funktionieren.
Als Poisoning und Spoofing werden Cyberangriffe bezeichnet, die darauf abzielen, Schwachstellen in DNS-Servern auszunutzen und Datenverkehr von seriösen Servern auf gefälschte umzuleiten. Wer einmal auf einer betrügerischen Seite gelandet ist, möchte da natürlich nicht wieder hin. Tatsächlich haben Sie das selbst in der Hand. Dafür müssen Sie allerdings genau wissen, wie Sie sich schützen können.
DNS-Spoofing und damit auch DNS-Cache-Poisoning sind in dieser Hinsicht besonders perfide. Solange Sie nicht wissen, wie das Internet eine Verbindung zwischen Ihnen und einer Webseite herstellt, könnten Sie zu dem Trugschluss kommen, die Website selbst sei gehackt worden. Tatsächlich könnte aber Ihr eigenes Gerät das Problem sein. Schlimmer noch: Selbst Cybersicherheitssoftware kann nur einen Teil der DNS-Spoofing-Bedrohungen aufhalten.
In Bezug auf das DNS gibt es zwei wesentliche Bedrohungen:
Zu den am häufigsten vorkommenden DNS-Spoofing-Methoden gehören:
Man-in-the-Middle-Betrug: Hierbei stellt sich der Angreifer zwischen Ihren Webbrowser und den DNS-Server. Ein Tool wird für das zeitgleiche Cache-Poisoning auf Ihrem lokalen Gerät und Server-Poisoning auf dem DNS-Server verwendet. Ist der Angriff erfolgreich, wird der Nutzer auf eine schädliche Webseite umgeleitet, die auf dem lokalen Server des Angreifers gehostet wird.
Übernahme des DNS-Servers: Kriminelle konfigurieren den Server so um, dass alle anfragenden Nutzer auf die schädliche Webseite weitergeleitet werden. Da der gefälschte DNS-Eintrag im DNS-Server eingetragen ist, führt jede IP-Anfrage nach der Spoofing-Domäne zur gefälschten Webseite.
DNS-Cache-Poisoning per Spam: Der Code für die „Vergiftung“ des DNS-Cache ist häufig in URLs versteckt, die über Spam-Mails verbreitet werden. Diese E-Mails sind darauf angelegt, den Empfänger durch Panikmache zu unbedachtem Handeln zu verleiten, damit er auf eine URL in der Mail klickt, durch die sein Computer infiziert wird. Werbebanner und Bilder – sowohl in E-Mails als auch auf nicht vertrauenswürdigen Webseiten – können Benutzer ebenfalls zu diesem Code leiten. In der Folge wird Ihr Computer Sie immer wieder auf die gefälschte Webseite führen, die der Originalseite täuschend ähnlich sieht. Und das ist die eigentliche Bedrohung für Ihre Geräte.
Die folgenden Risiken entstehen durch DNS-Poisoning und DNS-Spoofing:
DNS-Spoofing birgt für Ihre Geräte und Ihre persönlichen Daten mehrere Risiken.
Datendiebstahl ist ein besonders lukratives Geschäft für DNS-Spoofing-Angreifer. Webseiten von Banken und großen Online-Händlern sind bei Fälschern, die es auf Ihre Passwörter, Kreditkartendaten oder persönlichen Informationen abgesehen haben, besonders beliebt. Die Opfer werden auf entsprechende Phishing-Webseiten weitergeleitet, auf denen ihre Daten abgegriffen werden.
Eine Infektion mit Malware ist eine weitere häufige Bedrohung durch DNS-Spoofing. Ziel der ungewollten Weiterleitung könnte eine Webseite mit schädlichen Downloads sein. Drive-by-Downloads sind eine einfache Möglichkeit, die Unterwanderung Ihres Systems zu automatisieren. Ohne geeignete Internetsicherheit sind Sie letztlich immer Risiken wie Spyware, Keyloggernoder Würmern ausgesetzt.
Abgebrochene Sicherheitsupdates können ebenfalls durch DNS-Spoofing initiiert werden. Wenn sich unter den gefälschten Webseiten auch Anbieter von Internetsicherheitsanbietern befinden, werden wichtige Updates nicht durchgeführt. Ihr Computer ist dadurch weiteren Bedrohungen wie Viren oder Trojanern ausgesetzt.
Auch Zensur ist ein Risiko, das in einigen Teilen der Welt tatsächlich zum Alltag gehört. So nutzt China beispielsweise Änderungen am DNS, um sicherzustellen, dass innerhalb des Landes nur von der chinesischen Führung zugelassene Webseiten aufgerufen werden. Diese Sperrung auf nationaler Ebene, die als „Great Firewall“ bezeichnet wird, ist ein Beispiel dafür, welch mächtiges Tool sich hinter DNS-Spoofing verbirgt.
Vor allem die Beseitigung von DNS-Cache-Poisoning ist schwierig. Da die Bereinigung eines infizierten Servers nicht das Problem auf einem Desktop- oder Mobilgerät beseitigt, leitet Sie Ihr eigenes Gerät immer wieder auf die gefälschte Webseite. Außerdem werden saubere Desktops erneut unterwandert, sobald sie sich mit einem infizierten Server verbinden.
Bei der Verhinderung von DNS-Spoofing sind die Mittel der Nutzer eher begrenzt. Server- und Webseitenbetreiber sind da besser aufgestellt, um sich selbst und ihre Nutzer zu schützen. Um die Sicherheit aller Beteiligten angemessen zu gewährleisten, müssen sich beide Seiten ausreichend vor Spoofing schützen.
Im Folgenden erfahren Sie, wie Website-Betreiber und die Anbieter von DNS-Diensten derartige Angriffe verhindern können:
Und hier ein paar Sicherheitstipps für Endpoint-Nutzer:
Als Betreiber einer Webseite oder Anbieter eines DNS-Servers liegt die Verantwortung für den Schutz der Nutzer in Ihrer Hand. Sie können verschiedene Schutzinstrumente und -protokolle implementieren, um Bedrohungen fernzuhalten. Die folgenden Ressourcen sind besonders ratsam:
Gerade Endnutzer sind dieser Art von Bedrohung nahezu hilflos ausgesetzt. Die folgenden Tipps können aber helfen, einen DNS-Poisoning-Angriff erfolgreich abzuwehren:
Machen Sie es DNS-Spoofing und Malware-Angriffen nicht zu leicht. Schützen Sie sich noch heute mit den Produkten von Kaspersky Home Security.
Verwandte Artikel und Links:
Verwandte Produkte: