DNS – kurz für Domain Name System – ist im Grunde das Telefonbuch des Internets. Es übersetzt benutzerfreundliche Website-Namen in IP-Adressen, damit Ihr Browser weiß, wohin er gehen soll. Ein DNS-Cache ist eine kleine Datei, die lokal auf Ihrem Computer oder manchmal auf den Servern Ihres Internetanbieters gespeichert wird und sich die IP-Adressen kürzlich besuchter Websites merkt. Das beschleunigt den Ladevorgang, da Ihr Computer den DNS-Server nicht jedes Mal abfragen muss. Dieser Vorteil kann jedoch zunichtegemacht werden, wenn jemand diesen Cache manipuliert – was zu allerlei Sicherheitsproblemen führen kann.
Was ist DNS-Cache-Poisoning?
Wenn Sie eine URL eingeben, beispielsweise xyz.com, prüft Ihr Browser zunächst den lokalen DNS-Cache, um festzustellen, ob die IP-Adresse bereits bekannt ist. Ist dies der Fall, ist alles in Ordnung. Andernfalls fragt er einen DNS-Server ab, um die Adresse aufzulösen, und speichert die Information lokal. Dieser Vorgang wird als DNS-Lookup bezeichnet. Doch hier wird es heikel: Cyberkriminelle können diesen Cache manipulieren und echte IP-Adressen durch gefälschte ersetzen. So gelangen Sie unbemerkt auf schädliche Webseiten. Dies nennt man DNS-Cache-Poisoning oder Pharming. Es ist ziemlich heimtückisch, denn Sie könnten beispielsweise die Webseite Ihrer Bank besuchen, befinden sich aber in Wirklichkeit auf einer Phishing-Seite. Bei manchen Systemen läuft dieses Cache-Poisoning unbemerkt ab, bei anderen bemerken Sie möglicherweise ungewöhnliche Weiterleitungen oder Sicherheitswarnungen.
Die meisten Nutzer bekommen die Vorgänge im Hintergrund nicht mit, doch sie finden statt – mal mit Schadsoftware, mal mit manipulierten DNS-Servern, die von Hackern eingerichtet werden. Das Ziel? Anmeldeinformationen stehlen, Schadsoftware einschleusen oder einfach nur Chaos stiften. Das Tückische daran ist, dass diese manipulierten Einträge so lange bestehen bleiben können, bis der Cache aktualisiert oder manuell gelöscht wird. Denn natürlich bieten Windows und Netzwerkverwaltungstools standardmäßig keine hundertprozentige Sicherheit.
DNS-Cache-Spoofing
Dies ähnelt dem Cache-Poisoning, beinhaltet aber speziell das Fälschen von DNS-Antworten, um Ihrem Gerät falsche Daten zuzuführen. Beim Spoofing werden beispielsweise DNS-Abfrage-IDs erraten oder manipulierte DNS-Server eingerichtet, die anstelle der legitimen Server antworten. Die Folge? Ihr Gerät erhält falsche Informationen und wird auf gefälschte oder schädliche Webseiten weitergeleitet.
Wie man sich vor DNS-Cache-Poisoning und Spoofing schützt
Ehrlich gesagt gibt es keine Patentlösung. Aber einige Maßnahmen helfen, das Risiko, Opfer dieser Dinge zu werden, zu verringern:
- Halten Sie Ihr Betriebssystem und die Firmware Ihres Routers auf dem neuesten Stand. Veraltete Software weist häufig Sicherheitslücken auf. Unter Windows sollten Sie regelmäßig über Einstellungen > Update und Sicherheit > Windows Update nach Updates suchen.
- Verwenden Sie eine zuverlässige Firewall, die verdächtige DNS-Aktivitäten erkennen kann. Viele Unternehmensfirewalls verfügen über Funktionen, die vor DNS-Cache-Poisoning-Versuchen warnen oder diese blockieren.
- Leeren Sie regelmäßig Ihren DNS-Cache. Unter Windows können Sie dies über PowerShell oder die Eingabeaufforderung mit den Befehlen `dns`
Clear-DnsClientCacheoder `dns` tunipconfig /flushdns. Auf einem Mac führen Sie dazu dendscacheutil -flushcacheBefehl im Terminal aus. - Wenn Sie mit der Anpassung von Netzwerkkonfigurationen vertraut sind, können Sie die DNS-TTL-Werte verkürzen. Dadurch wird Ihr System gezwungen, DNS-Server häufiger abzufragen, wodurch veraltete oder fehlerhafte Einträge im Cache reduziert werden.
- Aktivieren Sie nach Möglichkeit DNS-Sicherheitserweiterungen (DNSSEC).DNSSEC fügt DNS-Einträgen kryptografische Signaturen hinzu, um die Authentizität zu überprüfen und Spoofing zu verhindern. Einige DNS-Anbieter oder Router unterstützen diese Funktion.
- Konfigurieren Sie die DNS-Cache-Sperre. Bei Windows-Servern erfordert dies das Festlegen von Registrierungsschlüsseln oder die Verwendung von PowerShell zur Steuerung des Cache-Überschreibens. Weitere Informationen finden Sie im TechNet-Leitfaden zur DNS-Cache-Sperre.
- Nutzen Sie Tools wie F-Secure Router Checker oder WhiteHat Security Tool zur kontinuierlichen Erkennung von DNS-Hijacking.
Weitere Verteidigungsmaßnahmen, die Sie in Betracht ziehen könnten:
- Konfigurieren Sie Ihren Router mit einem sicheren, seriösen DNS-Anbieter, der DNSSEC unterstützt (wie Cloudflare, Google Public DNS oder OpenDNS).
- Nutzen Sie die Quellportrandomisierung – dabei verwenden DNS-Anfragen zufällige Ports – über die DNS-Socket-Pool- Einstellung auf Windows-Servern. Dies erschwert es Angreifern, DNS-Antworten vorherzusagen oder zu fälschen.
Worin besteht der Unterschied zwischen DNS-Spoofing und DNS-Hijacking?
Gute Frage – diese beiden Phänomene sind zwar verwandt, aber nicht identisch. Beim DNS-Spoofing werden falsche Daten in den DNS-Cache eingeschleust, sodass Ihr Gerät eine schädliche IP-Adresse für legitim hält. Man kann es sich so vorstellen, als würde man den DNS-Resolver anlügen. DNS-Hijacking hingegen beinhaltet die vollständige Übernahme der DNS-Auflösung – beispielsweise durch die Umleitung Ihrer DNS-Anfragen an einen schädlichen Server, der falsche Antworten liefert. Beide zielen darauf ab, Sie in die Irre zu führen, aber beim Hijacking wird in der Regel Ihr gesamter DNS-Verkehr an schädliche Server umgeleitet, manchmal durch die Änderung von Router-Einstellungen oder DNS-Konfigurationen.
Ein praktisches Beispiel für DNS-Spoofing:
Wenn Sie die Website Ihrer Bank aufrufen und plötzlich eine Seite sehen, die völlig legitim aussieht, es aber nicht ist, könnte das daran liegen, dass der DNS-Cache manipuliert wurde und Sie auf eine gefälschte Version weitergeleitet werden. Geben Sie Ihre Zugangsdaten ein, weil Sie denken, es sei die echte Seite? Der Angreifer hat nun Ihre Daten. Nicht gut, oder?
Hoffentlich tragen einige dieser Tipps dazu bei, die Sicherheit etwas zu verbessern. DNS-Sicherheit ist oft tückisch, daher lohnt es sich, diese Schwachstellen im Auge zu behalten, bevor Probleme auftreten.