Was ist DNS-Cache-Vergiftung?
DNS-Cache-Poisoning, auch bekannt als DNS-Spoofing, ist ein Angriffstyp, bei dem Sicherheitsanfälligkeiten im Domain Name System (DNS) dazu verwendet werden, um den Internetverkehr von legitimen Servern auf gefälschte Server umzuleiten.
Einer der Gründe, warum DNS-Vergiftung so gefährlich ist, liegt darin, dass sie sich vom DNS-Server auf den DNS-Server ausbreiten kann. Im Jahr 2010 kam es bei einem DNS-Vergiftungsereignis dazu, dass die Great Firewall of China zeitweilig an Chinas Staatsgrenzen vorbeiging und das Internet in den USA bis zur Behebung des Problems zensierte.
Wie funktioniert DNS?
Immer wenn Ihr Computer einen Domänennamen wie "google.com" kontaktiert, muss er sich zuerst an seinen DNS-Server wenden. Der DNS-Server antwortet mit einer oder mehreren IP-Adressen, unter denen Ihr Computer google.com erreichen kann. Ihr Computer stellt dann direkt eine Verbindung zu dieser numerischen IP-Adresse her. DNS konvertiert von Menschen lesbare Adressen wie "google.com" in computerlesbare IP-Adressen wie "173.194.67.102"..
- Lesen Sie mehr: HTG erklärt: Was ist DNS??
DNS-Caching
Das Internet verfügt nicht nur über einen einzigen DNS-Server, da dies äußerst ineffizient wäre. Ihr Internet Service Provider betreibt eigene DNS-Server, auf denen Informationen von anderen DNS-Servern zwischengespeichert werden. Ihr Heimrouter fungiert als DNS-Server, der Informationen von den DNS-Servern Ihres ISP speichert. Ihr Computer verfügt über einen lokalen DNS-Cache, sodass er schnell auf bereits durchgeführte DNS-Suchvorgänge zurückgreifen kann, anstatt immer wieder einen DNS-Suchlauf durchzuführen.
DNS-Cache-Vergiftung
Ein DNS-Cache kann vergiftet werden, wenn er einen falschen Eintrag enthält. Wenn ein Angreifer beispielsweise die Kontrolle über einen DNS-Server erhält und einige der darin enthaltenen Informationen ändert - beispielsweise könnte google.com tatsächlich auf eine IP-Adresse verweisen, die der Angreifer besitzt -, würde der DNS-Server den Benutzern den Befehl geben, nachzuschauen für Google.com an der falschen Adresse. Die Adresse des Angreifers könnte eine Art bösartiger Phishing-Website enthalten
DNS-Vergiftungen wie diese können sich auch verbreiten. Wenn beispielsweise verschiedene Internetdienstanbieter ihre DNS-Informationen von dem angegriffenen Server erhalten, wird der vergiftete DNS-Eintrag an die Internetdienstanbieter weitergeleitet und dort zwischengespeichert. Es verbreitet sich dann auf Heimrouter und die DNS-Caches auf Computern, wenn der DNS-Eintrag nachgeschlagen wird, die falsche Antwort empfangen und gespeichert wird.
Die Great Firewall of China breitet sich in die USA aus
Dies ist nicht nur ein theoretisches Problem - es ist in der Realität in großem Umfang passiert. Chinas Great Firewall funktioniert unter anderem durch das Blockieren auf DNS-Ebene. Beispielsweise kann eine in China blockierte Website, z. B. twitter.com, die DNS-Einträge auf eine falsche Adresse auf DNS-Servern in China verweisen. Dies würde dazu führen, dass Twitter auf normale Weise nicht erreichbar ist. Stellen Sie sich dies vor, wie China seine eigenen DNS-Server-Caches absichtlich vergiftet.
Im Jahr 2010 hat ein Internetdienstanbieter außerhalb Chinas seine DNS-Server fälschlicherweise so konfiguriert, dass Informationen von DNS-Servern in China abgerufen werden. Die fehlerhaften DNS-Einträge wurden aus China abgerufen und auf eigenen DNS-Servern zwischengespeichert. Andere Internetdienstanbieter holten DNS-Informationen von diesem Internetdienstanbieter und verwendeten sie auf ihren DNS-Servern. Die vergifteten DNS-Einträge verbreiteten sich weiter, bis einige Leute in den USA den Zugriff auf Twitter, Facebook und YouTube über ihre amerikanischen Internetdienstanbieter blockierten. Die Große Firewall Chinas war außerhalb der Landesgrenzen „durchgesickert“ und hinderte Menschen aus anderen Teilen der Welt daran, auf diese Websites zuzugreifen. Dies funktionierte im Wesentlichen als groß angelegter Angriff auf DNS-Vergiftungen. (Quelle.)
Die Lösung
Der eigentliche Grund, warum DNS-Cache-Poisoning ein solches Problem ist, besteht darin, dass es nicht wirklich möglich ist, festzustellen, ob die von Ihnen erhaltenen DNS-Antworten legitim sind oder ob sie manipuliert wurden.
Die langfristige Lösung für die DNS-Cache-Vergiftung ist DNSSEC. DNSSEC ermöglicht es Organisationen, ihre DNS-Einträge mit der Verschlüsselung mit öffentlichen Schlüsseln zu signieren. Dadurch wird sichergestellt, dass Ihr Computer erkennt, ob ein DNS-Eintrag als vertrauenswürdig eingestuft wird oder ob er vergiftet wurde und an einen falschen Speicherort weitergeleitet wird.
- Lesen Sie mehr: Wie DNSSEC dazu beiträgt, das Internet zu sichern, und wie SOPA es fast illegal gemacht hat
Bildnachweis: Andrew Kuznetsov auf Flickr, Jemimus auf Flickr, NASA