Eine Einf\u00fchrung in das Domain Name System (DNS)<\/h2>\n
Bevor wir uns mit dem DNS-Poisoning befassen, sollten wir \u00fcber das Domain Name System<\/a> sprechen. Das Surfen auf einer Webseite scheint einfach zu sein, aber unter der Haube des Servers geht eine Menge vor sich.<\/p>\n Es sind viele Elemente beteiligt, die dich von A nach B bringen:<\/p>\n Im Gro\u00dfen und Ganzen macht ein DNS das Abrufen eines Domain-Namens f\u00fcr den Endnutzer einfach. Es ist ein zentraler Bestandteil des Internets und hat als solcher viele bewegliche Teile.<\/p>\n Wir werden uns als N\u00e4chstes den Suchvorgang selbst ansehen, obwohl du schon sehen kannst, dass das DNS eine wichtige Aufgabe zu erf\u00fcllen hat.<\/p>\n\n Bitte habe etwas Geduld mit uns, w\u00e4hrend wir eine abstrakte Analogie verwenden.<\/p>\n Bei Aktivit\u00e4ten, die Menschen an entlegene Orte f\u00fchren, wie Bergsteigen oder Segeln, besteht eine besondere Gefahr: sich zu verlaufen und nicht rechtzeitig gefunden zu werden. Um gestrandete Menschen zu finden, werden traditionell Koordinaten verwendet. Sie sind eindeutig und bieten punktgenaue Genauigkeit.<\/p>\n Dieses Verfahren hat jedoch auch Nachteile. Erstens musst du wissen, wie du deine Koordinaten f\u00fcr jeden Ort berechnen kannst – schwierig, wenn du dich in einem abgelegenen Teil der Welt befindest. Zweitens musst du diese Koordinaten dem Rettungsteam mitteilen. Eine falsche Zahl und die Folgen sind fatal.<\/p>\n Die what3words<\/a>-App macht aus dem komplexen Prozess der Koordinatenberechnung und -weitergabe eine Zusammenfassung deines Standorts in drei W\u00f6rtern. Nehmen wir zum Beispiel den Hauptsitz von Automattic<\/a>:<\/p>\n Die Koordinaten des Ortes sind 37.744159, -122.421555<\/strong>. Wenn du kein Experte in Sachen Navigation bist, wirst du das aber wahrscheinlich nicht wissen. Und selbst wenn du es w\u00fcsstest, ist es sehr unwahrscheinlich, dass du sie in die H\u00e4nde von jemandem bekommst, der dir helfen kann.<\/p>\n In aller K\u00fcrze: what3words \u00fcbersetzt einen abstrakten Satz von Koordinaten in drei einpr\u00e4gsame W\u00f6rter. Im Fall der Automattic-B\u00fcros hei\u00dft es decent.transfers.sleeps<\/strong>:<\/p>\n Damit kann fast jeder, der Zugang zu der App hat, eine komplexe globale Positionsbestimmung durchf\u00fchren. Es hat schon vielen Zivilisten das Leben gerettet<\/a>.<\/p>\n Dies ist mit einer DNS-Abfrage vergleichbar, denn der Prozess ist \u00e4hnlich. Im Fall von what3words fragt der Retter die App nach den Koordinaten einer Wortfolge. Die Anfrage wird \u00fcber die Server geschickt, um die Koordinaten zu suchen und an den Endnutzer zur\u00fcckzugeben, wenn sie gefunden wurden.<\/p>\n Ein DNS-Lookup hat einen \u00e4hnlichen Ablauf<\/a>:<\/p>\n Einer der Nachteile von what3words ist, dass eine Wortkette nicht so genau ist wie eine Reihe von Koordinaten. Das bedeutet, dass du einen allgemeinen Standort schnell bestimmen kannst, aber m\u00f6glicherweise l\u00e4nger brauchst, um die gestrandete Person zu finden.<\/p>\n Ein DNS-Lookup hat ebenfalls Nachteile, die b\u00f6swillige Angreifer ausnutzen k\u00f6nnen. Bevor wir uns damit befassen, machen wir einen kurzen Abstecher zum Caching, um zu sehen, wie es die Suche beschleunigen kann.<\/p>\n \u00c4hnlich wie beim Web-Caching kann das DNS-Caching dabei helfen, regelm\u00e4\u00dfige Abfragen an den Server zur\u00fcckzurufen. Dadurch wird der Abruf einer IP-Adresse bei jedem neuen Besuch beschleunigt.<\/p>\n Kurz gesagt, der Cache befindet sich innerhalb des DNS-Serversystems und erspart den zus\u00e4tzlichen Weg zum rekursiven Server. Das bedeutet, dass ein Browser eine IP-Adresse direkt vom DNS-Server abrufen und die GET<\/strong>-Anfrage in k\u00fcrzerer Zeit abschlie\u00dfen kann.<\/p>\n Du findest DNS-Caches in deinem gesamten System. Dein Computer hat zum Beispiel einen DNS-Cache, genauso wie dein Router und dein Internetdienstanbieter (ISP). Oft ist dir gar nicht bewusst, wie sehr dein Surferlebnis vom DNS-Caching abh\u00e4ngt – bis du Opfer von DNS-Poisoning wirst.<\/p>\n Nachdem du nun das Konzept des DNS-Lookups und den gesamten Prozess des Abrufs einer IP-Adresse verstanden hast, k\u00f6nnen wir sehen, wie es ausgenutzt werden kann.<\/p>\n Oft wird DNS Poisoning auch als „Spoofing“ bezeichnet, weil eine betr\u00fcgerisch aussehende Webseite in der Kette Teil des Angriffs ist.<\/p>\n Wir werden noch ausf\u00fchrlicher auf all diese Aspekte eingehen, aber du solltest wissen, dass DNS Poisoning oder Spoofing ein sch\u00e4dlicher Angriff ist, der psychische, monet\u00e4re und ressourcenbezogene Probleme f\u00fcr die Nutzer und das Internet verursachen kann.<\/p>\n Doch zuerst wollen wir uns mit dem Cache Poisoning befassen.<\/p>\n Da der gesamte Prozess des Manipulierens komplex ist, haben die Angreifer viele verschiedene M\u00f6glichkeiten entwickelt, um ihr Ziel zu erreichen:<\/p>\n Ein Geburtstagsangriff basiert auf dem „Geburtstagsproblem<\/a>„. Dabei handelt es sich um ein Wahrscheinlichkeitsszenario, das (in aller K\u00fcrze) besagt: Wenn sich 23 Personen in einem Raum befinden, besteht eine 50%ige Chance, dass zwei von ihnen denselben Geburtstag haben. Wenn mehr Leute im Raum sind, steigt die Wahrscheinlichkeit.<\/p>\n Das bedeutet DNS-Poisoning auf der Grundlage der Kennung, die die DNS-Abfrage mit der GET<\/strong>-Antwort verbindet. Wenn der Angreifer eine bestimmte Anzahl von zuf\u00e4lligen Anfragen und Antworten sendet, ist die Wahrscheinlichkeit hoch, dass eine \u00dcbereinstimmung zu einem erfolgreichen Vergiftungsversuch f\u00fchrt. Ab etwa 450 Anfragen liegt die Wahrscheinlichkeit bei 75 %, und bei 700 Anfragen ist es fast garantiert, dass ein Angreifer den Server knackt.<\/p>\n Kurz gesagt, Angriffe auf den DNS-Server finden in den meisten F\u00e4llen statt, weil ein b\u00f6swilliger Nutzer dadurch mehr M\u00f6glichkeiten hat, deine Webseite und deine Nutzerdaten zu manipulieren. Au\u00dferdem gibt es keine \u00dcberpr\u00fcfung der DNS-Daten, weil die Anfragen und Antworten nicht \u00fcber das Transmission Control Protocol (TCP)<\/a> laufen.<\/p>\n Die Schwachstelle in der Kette ist der DNS-Cache, da dieser als Speicher f\u00fcr DNS-Eintr\u00e4ge dient. Wenn ein Angreifer gef\u00e4lschte Eintr\u00e4ge in den Cache einspeisen kann, findet sich jeder Nutzer, der darauf zugreift, auf einer betr\u00fcgerischen Webseite wieder, bis der Cache abl\u00e4uft.<\/p>\n Angreifer suchen oft nach einigen Signalen, Schwachstellen und Datenpunkten, die sie ins Visier nehmen k\u00f6nnen. Sie suchen nach DNS-Anfragen, die noch nicht zwischengespeichert wurden, weil der rekursive Server die Anfrage irgendwann ausf\u00fchren muss. Au\u00dferdem wird ein Angreifer nach dem Nameserver suchen, an den eine Anfrage geht. Sobald er diesen kennt, sind der Port, den der Resolver verwendet, und die Request-ID-Nummer entscheidend.<\/p>\n Es ist zwar nicht notwendig, alle diese Anforderungen zu erf\u00fcllen – schlie\u00dflich kann ein Angreifer \u00fcber zahlreiche Methoden auf Server zugreifen – aber wenn er diese K\u00e4stchen abhakt, macht er sich die Arbeit leichter.<\/p>\n Im Laufe der Jahre gab es einige aufsehenerregende Beispiele f\u00fcr DNS Poisoning. In einigen F\u00e4llen ist es eine vors\u00e4tzliche Handlung. China betreibt zum Beispiel eine massive Firewall (die sogenannte „Great Firewall of China“), um die Informationen zu kontrollieren, die Internetnutzer erhalten.<\/p>\n In aller K\u00fcrze: Sie vergiften ihre eigenen Server, indem sie Besucher auf staatlich nicht genehmigte Webseiten wie Twitter und Facebook umleiten. In einem Fall<\/a> haben die chinesischen Beschr\u00e4nkungen sogar den Weg in das \u00d6kosystem der westlichen Welt gefunden.<\/p>\n Ein Netzwerkfehler eines schwedischen Internetanbieters lieferte Root-DNS-Informationen von chinesischen Servern. Dies f\u00fchrte dazu, dass Nutzer\/innen in Chile und den USA beim Zugriff auf einige Webseiten sozialer Medien woanders hingelenkt wurden.<\/p>\n Ein weiteres Beispiel<\/a>: Hacker aus Bangladesch, die gegen Misshandlungen in Malaysia protestierten, vergifteten viele Domains von Microsoft, Google, YouTube und anderen bekannten Webseiten. Dies scheint eher ein Fall von Server-Hijacking als ein clientseitiges Problem oder Spam gewesen zu sein.<\/p>\n Auch WikiLeaks ist nicht immun gegen DNS-Vergiftungsangriffe. Ein m\u00f6glicher Server-Hijack<\/a> vor ein paar Jahren f\u00fchrte dazu, dass Besucher der Webseite auf eine Seite umgeleitet wurden, die den Hackern gewidmet war.<\/p>\n DNS-Vergiftung muss kein komplizierter Prozess sein. Sogenannte „ethische Hacker“ – also diejenigen, die eher Sicherheitsl\u00fccken aufdecken als Schaden anrichten wollen – haben einfache Methoden<\/a>, um Spoofing auf ihren eigenen Computern zu testen.<\/p>\n Abgesehen von der Umleitung scheint DNS Poisoning auf den ersten Blick keine langfristigen Auswirkungen zu haben. Tats\u00e4chlich gibt es welche – und \u00fcber die sprechen wir als N\u00e4chstes.<\/p>\n Es gibt drei Hauptziele eines Angreifers, der DNS Poisoning auf einem Server durchf\u00fchren will:<\/p>\n Nat\u00fcrlich ist es nicht schwer zu verstehen, warum DNS Poisoning oder Spoofing ein Problem f\u00fcr ISPs, Serverbetreiber und Endnutzer ist.<\/p>\n Wie wir bereits erw\u00e4hnt haben, ist Spoofing ein massives Problem f\u00fcr ISPs, und zwar so sehr, dass es Tools wie den CAIDA Spoofer<\/a> gibt, die dabei helfen.<\/p>\n Vor ein paar Jahren zeigte die Statistik<\/a>, dass es jeden Tag etwa 30.000 Angriffe gab. Diese Zahl hat sich seit der Ver\u00f6ffentlichung des Berichts mit Sicherheit erh\u00f6ht. Wie in dem Beispiel aus dem vorigen Abschnitt stellt die Bereitstellung manipulierter Webseiten in einem Netzwerk das Vertrauen der Nutzer\/innen in Frage und wirft Fragen zum Datenschutz auf.<\/p>\n Unabh\u00e4ngig davon, wer du bist, gibt es ein paar Risiken, wenn du Opfer von Vergiftungen und Manipulationen wirst:<\/p>\n Es gibt auch noch andere Auswirkungen der DNS-Vergiftung. Zum Beispiel kannst du m\u00f6glicherweise keine Sicherheitsupdates auf dein System aufspielen, w\u00e4hrend der Wiederherstellungsprozess in vollem Gange ist. Dadurch bleibt dein Computer l\u00e4nger verwundbar.<\/p>\n Bedenke auch die Kosten und die Komplexit\u00e4t dieses Bereinigungsprozesses, da er alle Beteiligten betrifft. H\u00f6here Preise f\u00fcr alle damit verbundenen Dienste sind nur einer der negativen Aspekte.<\/p>\n Der Aufwand f\u00fcr die Beseitigung von DNS-Poisoning ist immens. Da Manipulationen sowohl auf der Client- als auch auf der Serverseite vorkommen, bedeutet die Beseitigung einer der beiden Seiten noch lange nicht, dass es auch auf allen anderen verschwunden ist.<\/p>\n Es gibt zwei Bereiche, die von DNS Poisoning betroffen sind – die Client- und die Serverseite. Wir schauen uns an, was du tun kannst, um diesen sch\u00e4dlichen Angriff auf beiden Seiten der Medaille zu verhindern.<\/p>\n Beginnen wir damit, was das Internet als Ganzes auf der Serverseite tut.<\/p>\n Obwohl wir in diesem Artikel viel \u00fcber DNS gesprochen haben, haben wir nicht erw\u00e4hnt, wie veraltet die Technologie ist. Kurz gesagt: DNS ist aus mehreren Gr\u00fcnden nicht die beste L\u00f6sung f\u00fcr ein modernes Surferlebnis. Zun\u00e4chst einmal ist es unverschl\u00fcsselt, und ohne einige wichtige \u00dcberlegungen zur Validierung w\u00fcrden viele DNS-Vergiftungsangriffe gar nicht erst stattfinden.<\/p>\n Eine schnelle M\u00f6glichkeit, um zu verhindern, dass Angriffe st\u00e4rker werden, ist eine einfache Protokollierungsstrategie<\/a>. Dabei wird ein einfacher Vergleich zwischen der Anfrage und der Antwort durchgef\u00fchrt, um zu sehen, ob sie \u00fcbereinstimmen.<\/p>\n Die langfristige Antwort (nach Meinung der Experten) ist jedoch die Verwendung von Domain Name System Security Extensions (DNSSEC)<\/a>. Dabei handelt es sich um eine Technologie zur Bek\u00e4mpfung von DNS-Poisoning, die, einfach ausgedr\u00fcckt, verschiedene \u00dcberpr\u00fcfungsstufen vorsieht.<\/p>\n DNSSEC verwendet zur Verifizierung die „Public-Key-Kryptografie“. Damit werden die Daten als echt und vertrauensw\u00fcrdig eingestuft. Es wird zusammen mit deinen anderen DNS-Informationen gespeichert und der rekursive Server nutzt es, um zu \u00fcberpr\u00fcfen, dass keine der empfangenen Informationen ver\u00e4ndert wurde.<\/p>\n Im Vergleich zu anderen Internetprotokollen und -technologien ist DNSSEC noch relativ jung – aber es ist so ausgereift, dass es bereits in der Root-Ebene des Internets implementiert ist, auch wenn es noch nicht zum Mainstream geh\u00f6rt. Googles Public DNS<\/a> ist ein Dienst, der DNSSEC vollst\u00e4ndig unterst\u00fctzt, und es kommen st\u00e4ndig weitere hinzu.<\/p>\n Trotzdem hat DNSSEC noch einige Nachteile, die es zu beachten gilt:<\/p>\n Trotzdem ist DNSSEC die Zukunft, zumindest auf der Serverseite. F\u00fcr dich als Endnutzer gibt es aber auch einige vorbeugende Ma\u00dfnahmen, die du ergreifen kannst.<\/p>\n Es gibt noch weitere M\u00f6glichkeiten, DNS Poisoning auf der Client-Seite zu verhindern, aber keine davon ist so robust wie DNSSEC auf der Server-Seite, das von einem Experten implementiert wird. Dennoch gibt es einige einfache Punkte, die du als Betreiber deiner Webseite abhaken kannst:<\/p>\n Als Endnutzer kannst du noch ein paar Dinge tun, um Poisoning und Spoofing zu verhindern:<\/p>\n Du kannst DNS-Poisoning zwar nicht vollst\u00e4ndig ausschalten, aber du kannst das Schlimmste verhindern. Als Endnutzer hast du keine gro\u00dfe Kontrolle dar\u00fcber, wie der Server mit Angriffen umgeht. Genauso wenig k\u00f6nnen Sysadmins kontrollieren, was im Browser passiert. Es ist also eine Teamleistung, um zu verhindern, dass diese sch\u00e4dlichen Angriffe die gesamte Kette in Mitleidenschaft ziehen.<\/p>\n\n Angriffe aus dem Internet sind allt\u00e4glich. DNS-Poisoning (oder Spoofing) ist ein weit verbreiteter Angriff, der Millionen von Nutzern betreffen kann, wenn er unkontrolliert bleibt. Das liegt daran, dass das DNS-Protokoll veraltet und f\u00fcr das moderne Surfen im Internet ungeeignet ist – auch wenn neuere Technologien am Horizont zu sehen sind.<\/p>\n\n
Der Prozess eines DNS-Lookups<\/h2>\n
![\"Die](\"https:\/\/kinsta.com\/wp-content\/uploads\/2021\/07\/automattic-map.png\")
![\"Die](\"https:\/\/kinsta.com\/wp-content\/uploads\/2021\/07\/what3words.png\")
\n
DNS-Caching<\/h3>\n
Was DNS Poisoning ist<\/h2>\n
Wie DNS-Spoofing und Cache Poisoning funktionieren<\/h3>\n
\n
![\"Eine](\"https:\/\/kinsta.com\/wp-content\/uploads\/2021\/07\/birthday-paradox.png\")
Beispiele f\u00fcr DNS Poisoning in der Praxis<\/h3>\n
Warum DNS-Vergiftung und Manipulation so sch\u00e4dlich sind<\/h3>\n
\n
![\"Die](\"https:\/\/kinsta.com\/wp-content\/uploads\/2021\/07\/spoofer-tool.png\")
\n
Wie du DNS Poisoning verhinderst<\/h2>\n
Wie das Internet versucht, DNS Poisoning und Spoofing serverseitig zu verhindern<\/h3>\n
\n
Wie du DNS Poisoning auf der Client-Seite verhindern kannst<\/h3>\n
\n
\n
Zusammenfassung<\/h2>\n