Was ist DNS-Spoofing?

Was ist DNS-Spoofing? DNS-Spoofing ist eine Angriffstaktik, die häufig zum Betrug an Unternehmen eingesetzt wird. Das DNS war an sich noch nie sicher. Da es in den 1980er Jahren entwickelt wurde, war Sicherheit kein zentrales Thema, als das Internet noch ein Kuriosum war. Dies hat böswillige Akteure ermutigt, das Problem im Laufe der Zeit auszunutzen und ausgeklügelte DNS-basierte Angriffe wie DNS-Spoofing zu entwickeln.

Definition von DNS-Spoofing

DNS-Spoofing ist eine Technik, die verwendet wird, um die Anfrage eines Webbrowsers nach einer Website zu manipulieren und den Benutzer stattdessen auf eine andere Website zu leiten. Dies kann entweder durch Änderung der IP-Adresse von DNS-Servern oder durch Änderung der IP-Adresse des Domänennamenservers selbst geschehen.

DNS-Spoofing wird häufig bei Phishing-Methoden eingesetzt, bei denen Benutzer dazu verleitet werden, gefälschte Websites zu besuchen, die wie echte Websites aussehen. Diese gefälschten Websites können nach persönlichen Informationen wie Kreditkartennummern oder Sozialversicherungsnummern fragen, die Kriminelle für Identitätsdiebstahl nutzen können.

Was ist ein DNS-Spoofing-Angriff?

Bei einem DNS-Spoofing-Angriff gibt sich der Angreifer als DNS-Server aus und sendet Antworten auf DNS-Anfragen, die sich von denen des legitimen Servers unterscheiden.

Der Angreifer kann jede beliebige Antwort auf die Anfrage des Opfers senden, einschließlich falscher IP-Adressen für Hosts oder anderer Arten von falschen Informationen. Dies könnte genutzt werden, um einen Nutzer auf eine Website zu leiten, die wie eine andere Website aussieht, oder um falsche Informationen über Dienste im Netz zu verbreiten.

Kurz gesagt, ein Angreifer kann einen Benutzer dazu verleiten, eine schädliche Website zu besuchen, ohne dass dieser davon weiß. DNS-Spoofing bezieht sich auf jeden Versuch, die an einen Benutzer zurückgegebenen DNS-Einträge zu ändern und ihn auf eine bösartige Website umzuleiten.

Es kann für eine Vielzahl von böswilligen Zwecken verwendet werden, unter anderem:

  • Verbreitung von Malware, Ransomware und Phishing-Betrug
  • Sammeln von Nutzerinformationen
  • Erleichterung anderer Arten von Internetkriminalität.

Wie funktioniert DNS-Spoofing?

Der DNS-Server wandelt Domänennamen in IP-Adressen um, damit Nutzer eine Verbindung zu Websites herstellen können. Wenn ein Hacker Nutzer auf bösartige Websites leiten will, muss er zunächst deren DNS-Einstellungen ändern. Dies kann durch das Ausnutzen von Schwachstellen im System oder durch Brute-Force-Angriffe geschehen, bei denen Hacker Tausende von verschiedenen Kombinationen ausprobieren, bis sie eine finden, die funktioniert.

Schritt 1 - Aufklären

Der erste Schritt eines erfolgreichen Angriffs ist die Erkundung - das Herausfinden möglichst vieler Informationen über Ihr Ziel. Ein Hacker wird Ihr Geschäftsmodell, die Netzwerkstruktur Ihrer Mitarbeiter und Ihre Sicherheitsrichtlinien studieren, um herauszufinden, nach welchen Informationen er fragen sollte und wie er sie bekommen kann.

Schritt 2 - Zugang

Sobald sie genügend Informationen über ihr Ziel gesammelt haben, versuchen sie, sich Zugang zum System zu verschaffen, indem sie Schwachstellen ausnutzen oder Brute-Force-Methoden anwenden. Sobald sie Zugang haben, können sie Malware auf dem System installieren, um den Datenverkehr zu überwachen und sensible Daten zu extrahieren. Der Angreifer kann Pakete senden, die vorgeben, von legitimen Computern zu stammen, so dass es so aussieht, als kämen sie von einem anderen Ort.

Schritt 3 - Angriff

Wenn der Nameserver diese Pakete empfängt, speichert er sie in seinem Cache und verwendet sie bei der nächsten Abfrage nach diesen Informationen. Wenn autorisierte Benutzer versuchen, auf eine autorisierte Website zuzugreifen, werden sie stattdessen auf eine nicht autorisierte Website umgeleitet.

DNS-Spoofing-Methoden

Es gibt mehrere Möglichkeiten, wie ein Angreifer dies tun kann, aber alle beruhen darauf, dass er den Computer des Benutzers dazu bringt, einen alternativen DNS-Server zu verwenden. Auf diese Weise kann der Angreifer Anfragen entführen und sie an die gewünschte Website senden.

1. Man-in-the-Middle-Angriffe

Der häufigste DNS-Spoofing-Angriff wird als Man-in-the-Middle-Angriff (MITM) bezeichnet. Bei dieser Art von Angriff fängt der Angreifer eine E-Mail-Kommunikation zwischen zwei SMTP-Servern ab, um Ihren gesamten Internetverkehr mitzulesen. Der Angreifer fängt dann Ihre Anfrage zur Auflösung eines Domänennamens ab und sendet sie über sein Netzwerk statt über das eigentliche Netzwerk. Er kann mit jeder beliebigen IP-Adresse antworten - sogar mit einer, die zu einer Phishing-Site gehört.

2. DNS-Cache-Vergiftung

Der Angreifer verwendet ein Botnet oder ein kompromittiertes Gerät in seinem Netzwerk, um falsche Antworten auf DNS-Anfragen zu senden und den lokalen Cache mit falschen Informationen zu vergiften. Dies kann für das Hijacking von Domain-Name-Systemen (DNS) und Man-in-the-Middle-Angriffe genutzt werden.

3. DNS-Hijacking

Der Angreifer ändert seine IP-Adresse, um den Anschein zu erwecken, er sei der maßgebliche Namensserver für einen Domänennamen. Er kann dann gefälschte DNS-Antworten an einen Client senden, der Informationen über diese Domäne anfordert, und ihn zu einer vom Angreifer kontrollierten IP-Adresse leiten, anstatt öffentliche DNS-Server korrekt zu verwenden. Dieser Angriff wird am häufigsten von Kunden durchgeführt, die keine Sicherheitsmaßnahmen auf ihren Routern oder Firewalls implementiert haben.

Wie lässt sich DNS-Spoofing verhindern?

Implementierung von Mechanismen zur Erkennung von DNS-Spoofing

DNSSEC ist eine der vorgeschlagenen Lösungen für dieses Problem. DNSSEC ist eine Erweiterung für DNS, die Authentifizierung und Integrität für Einträge bietet und nicht-autoritative Daten von DNS-Servern bereitstellt. Sie stellt sicher, dass die Antworten während der Übertragung nicht manipuliert werden. Außerdem sorgt es für die Vertraulichkeit des Datenverkehrs zwischen Clients und Servern, so dass nur diejenigen, die über gültige Zugangsdaten verfügen, diesen entschlüsseln können.

Gründliche DNS-Verkehrsfilterung durchführen

Bei der DNS-Verkehrsfilterung wird der gesamte ein- und ausgehende Datenverkehr in Ihrem Netz überprüft. So können Sie verdächtige Aktivitäten in Ihrem Netz blockieren. Dazu können Sie eine Firewall oder eine andere Sicherheitssoftware verwenden, die diese Funktion bietet.

Regelmäßige Anwendung von Patches auf DNS-Servern

Führen Sie regelmäßig Sicherheitsupdates für Betriebssysteme, Anwendungen und Datenbanken durch.

Verwenden Sie ein virtuelles privates Netzwerk (VPN)

Wenn Sie keinen Zugang zu einer HTTPS-Verbindung haben, dann verwenden Sie ein VPN. Ein VPN schafft einen verschlüsselten Tunnel zwischen Ihrem Computer und der Website oder dem Dienst, auf den Sie zugreifen. Da sie den Datenverkehr in beide Richtungen verschlüsseln, können Internetanbieter nicht sehen, welche Websites Sie besuchen und welche Daten Sie senden oder empfangen.

Firewalls verwenden

Installieren Sie eine Firewall auf jedem System, das mit dem Internet verbunden ist. Eine Firewall blockiert alle eingehenden Verbindungen, die nicht ausdrücklich vom Netzwerkadministrator zugelassen wurden.

E-Mail-Authentifizierungsprotokolle verwenden

Sie können verwenden MTA-STS verwenden, um das DNS-Spoofing zu entschärfen. Die in der MTA-STS-Richtliniendatei gespeicherten Einträge, die über HTTPS heruntergeladen werden, werden mit den MX-Einträgen Ihres MTA verglichen, die über DNS abgefragt werden. MTAs speichern auch MTA-STS-Richtliniendateien im Cache, was die Ausführung eines DNS-Spoofing-Angriffs erschwert.

Sie können Zustellbarkeitsprobleme überwachen und beheben, indem Sie TLS-RPT aktivieren, damit die Empfänger über SMTP TLS-Berichte an Ihre E-Mail-Adresse senden können. Dies würde Ihnen helfen, über Probleme mit einer unverschlüsselten Verbindung auf dem Laufenden zu bleiben. 

Aktivieren der Protokollierung und Überwachung von DNS-Abfragen

Aktivieren Sie die Protokollierung und Überwachung von DNS-Anfragen, damit Sie alle nicht autorisierten Änderungen an Ihren DNS-Servern verfolgen können.

Letzte Worte

DNS-Spoofing kann sowohl für Website-Besucher als auch -Eigentümer äußerst unangenehm sein. Das Hauptmotiv eines Angreifers für die Durchführung eines DNS-Spoofing-Angriffs ist entweder persönlicher Gewinn oder die Übertragung von Malware. Daher ist die Auswahl eines zuverlässigen DNS-Hosting-Dienstes, der aktuelle Sicherheitsmaßnahmen einsetzt, für den Eigentümer einer Website von entscheidender Bedeutung.

Außerdem sollten Sie als Website-Besucher "auf Ihre Umgebung achten", denn wenn Sie Abweichungen zwischen der Website, die Sie besuchen wollten, und der Website, auf der Sie sich gerade befinden, feststellen, sollten Sie diese Website sofort verlassen und versuchen, den rechtmäßigen Website-Besitzer zu benachrichtigen.