GlobalSign Blog

Auch bekannt als DNS-Spoofing, ist DNS-Cache-Poisoning ein Angriff, der darauf abzielt, Schwachstellen in einem DNS (Domain Name System) zu finden und auszunutzen, um organischen Datenverkehr von einem legitimen Server auf einen gefälschten umzuleiten.

Die Bedrohung durch DNS-Cache-Poisoning machte im April dieses Jahres Schlagzeilen, als die DNS-Server des Krypto-Giganten MyEtherWallet gekapert und legitime Nutzer auf eine Phishing-Website umgeleitet wurden.

Als Ergebnis des Cache-Poisonings wurden mehrere Nutzer dazu verleitet, ihre Wallet-Schlüssel aufzugeben, bevor sie ihre Kryptowährungen in eine andere digitale Wallet transferierten, die mit den Hackern in Verbindung steht. Insgesamt stahlen die Hacker Ethereum im Wert von etwa 160.000 Dollar, bevor das Problem erkannt und gestoppt wurde.

Dies ist nur ein Beispiel dafür, wie gefährlich DNS-Cache-Vergiftung sein kann. Ein weiterer Grund, warum diese Art von Angriff gefährlich ist, ist, dass er sich leicht von einem DNS-Server zum nächsten ausbreiten kann.

In diesem Artikel behandeln wir das Thema, wie DNS-Cache-Poisoning funktioniert, und dann einige Lösungen, die Sie anwenden können, um es zu stoppen, falls es Ihnen jemals passieren sollte.

Jedes Mal, wenn Ihr Browser einen Domainnamen kontaktiert, muss er zuerst den DNS-Server kontaktieren.
Domain Name Servers (DNS) sind das Äquivalent des Internets zu einem Telefonbuch. Sie führen ein Verzeichnis von Domänennamen und übersetzen sie in Internet-Protokoll-Adressen (IP-Adressen).

Dies ist notwendig, weil Domänennamen zwar für Menschen leicht zu merken sind, Computer oder Maschinen aber auf der Grundlage von IP-Adressen auf Websites zugreifen.

Der Server antwortet dann mit mindestens einer IP-Adresse (in der Regel aber mehr), damit Ihr Computer den Domänennamen erreichen kann. Sobald Ihr Computer eine Verbindung zur IP-Adresse hergestellt hat, wandelt das DNS den Domänennamen in eine IP-Adresse um, die Ihr Computer lesen kann.

Ihr Internetanbieter betreibt derzeit mehrere DNS-Server, von denen jeder auch Informationen von anderen Servern zwischenspeichert (oder speichert). Der Wi-Fi-Router, den Sie zu Hause haben, fungiert im Wesentlichen auch als DNS-Server, da er Informationen von den Servern Ihres Internetanbieters zwischenspeichert.

Ein DNS-Cache wird „vergiftet“, wenn der Server einen falschen Eintrag erhält. Um dies zu verdeutlichen, kann es vorkommen, dass ein Hacker die Kontrolle über einen DNS-Server erlangt und die darin enthaltenen Informationen ändert.

Sie können zum Beispiel die Informationen so ändern, dass der DNS-Server den Benutzern mitteilt, dass sie nach einer bestimmten Website mit einer falschen Adresse suchen sollen. Mit anderen Worten: Der Benutzer gibt zwar den „richtigen“ Namen der Website ein, wird dann aber zu einer falschen IP-Adresse und insbesondere zu einer Phishing-Website weitergeleitet.

Wir haben bereits erwähnt, dass DNS-Cache-Poisoning unter anderem deshalb so gefährlich ist, weil es sich so schnell von einem DNS-Server zum nächsten ausbreiten kann. Dies wird erreicht, wenn mehrere Internetdienstanbieter ihre DNS-Informationen von dem nun von einem Hacker kontrollierten Server erhalten, was dazu führt, dass der „vergiftete“ DNS-Eintrag an diese Internetdienstanbieter weitergegeben wird, um im Cache gespeichert zu werden.

Von diesem Punkt an kann er sich auf andere DNS-Server und Heimrouter ausbreiten, und auch Computer werden den DNS-Eintrag nachschlagen, nur um eine falsche Antwort zu erhalten, was dazu führt, dass immer mehr Menschen Opfer der Vergiftung werden. Erst wenn der vergiftete Cache auf allen betroffenen DNS-Servern geleert wurde, ist das Problem gelöst.

Schutz vor DNS Cache Poisoning

Einer der kniffligen Aspekte von DNS Cache Poisoning ist, dass es extrem schwierig ist, festzustellen, ob die erhaltenen DNS-Antworten legitim sind oder nicht. Im Fall von My Ethereum Wallet hatte das Unternehmen nur sehr begrenzte Möglichkeiten, die Situation zu verhindern, und das Problem wurde letztendlich von seinen Serveranbietern gelöst.

Glücklicherweise gibt es immer noch eine Reihe von Maßnahmen, die Ihr Unternehmen ergreifen kann, um einen solchen Angriff zu verhindern. Sie sollten also nicht den Eindruck haben, dass DNS-Cache-Poisoning unmöglich oder fast unmöglich zu verhindern ist.

Zum Beispiel sollten Sie Ihre DNS-Server von einem IT-Fachmann so konfigurieren lassen, dass sie nur in geringem Maße auf Beziehungen zu anderen DNS-Servern angewiesen sind. Dadurch ist es für Cyberkriminelle viel schwieriger, ihren DNS-Server zu benutzen, um ihre Ziele zu beschädigen, was bedeutet, dass Ihr eigener DNS-Server weniger wahrscheinlich beschädigt wird und Sie (und jeder in Ihrem Unternehmen) daher weniger wahrscheinlich auf eine falsche Website umgeleitet werden.

Sie können Ihre DNS-Server außerdem so konfigurieren, dass sie nur Daten speichern, die sich speziell auf die angeforderte Domäne beziehen, und dass sie Abfrageantworten so einschränken, dass sie nur Informationen liefern, die auch die angeforderte Domäne betreffen. Die Idee dahinter ist, dass der Server so eingerichtet wird, dass nur die erforderlichen Dienste ausgeführt werden dürfen. Wenn Sie zusätzliche Dienste auf Ihrem DNS-Server laufen lassen, die nicht erforderlich sind, erhöhen Sie die Wahrscheinlichkeit eines Angriffs erheblich.

Sie sollten auch sicherstellen, dass die neueste Version des DNS verwendet wird. Dies liegt daran, dass die neuesten Versionen Sicherheitsfunktionen wie Port-Randomisierung und Transaktions-IDs verwenden, die kryptografisch sicher sind, um vor Vergiftungsangriffen zu schützen.

Ein weiterer wichtiger Schutz gegen DNS-Cache-Vergiftung, wie MyEtherWallet in einer Ankündigung nach dem Angriff im April 2018 riet, ist die Suche nach dem Namen des Unternehmens in der Adressleiste (in ihrem Fall also „MyEtherWallet Inc“).
Dies bedeutet, dass die Website ein EV SSL/TLS-Zertifikat verwendet. Dies würde verhindern, dass Menschen Opfer eines Vergiftungsangriffs werden, da sie sicherstellen würden, dass sie ihre persönlichen Daten nicht auf einer Hacker-Website eingeben. Nicht alle Unternehmen verwenden EV auf ihren Websites, so dass dies keine narrensichere Maßnahme ist, aber es kann ein hilfreiches Werkzeug sein, um festzustellen, ob man auf der richtigen Website ist.

Ein SSL/TLS-Zertifikat ist einfach eine kleine Datendatei, die auf einem Webserver installiert wird und die Daten Ihres Unternehmens mit einem kryptografischen Schlüssel verbinden kann. Nach der Installation aktiviert das Zertifikat das HTTPS-Protokoll, um eine sichere und verschlüsselte Verbindung zwischen einem Browser und Ihrem Webserver zu ermöglichen. Im Falle von EV SSL/TLS-Zertifikaten werden einige dieser Organisationsdetails, einschließlich des Firmennamens, wie oben erwähnt, direkt in der Browser-Benutzeroberfläche angezeigt.

Fazit

Zusammenfassend lässt sich sagen, dass DNS-Cache-Poisoning vorliegt, wenn ein Angreifer einen DNS-Server ausnutzt, um eine gefälschte DNS-Antwort zu senden, die von legitimen Servern in den Cache aufgenommen wird.

Anschließend werden Benutzer, die die beschädigte Domäne besuchen, zu einer neuen, vom Hacker ausgewählten IP-Adresse weitergeleitet, bei der es sich in der Regel um eine bösartige Phishing-Website handelt, auf der Opfer dazu verleitet werden können, Malware herunterzuladen oder Anmelde- oder Finanzdaten zu übermitteln.

Mit den oben genannten Schritten können Sie Ihr Unternehmen vor DNS-Cache-Poisoning-Angriffen schützen.

Hinweis: Dieser Blogartikel wurde von einem Gastautor verfasst, um unseren Lesern eine größere Vielfalt an Inhalten zu bieten. Die in diesem Gastautorenartikel geäußerten Meinungen sind ausschließlich die des Verfassers und spiegeln nicht unbedingt die von GlobalSign wider.

Schreibe einen Kommentar