Was ist eine DNS-Cache-Vergiftung?

DNS-Cache-Vergiftung, auch als DNS-Spoofing bezeichnet, ist eine Art von Angriff, bei dem Schwachstellen im Domain Name System (DNS) ausgenutzt werden, um den Internetverkehr von legitimen Servern auf gefälschte umzuleiten.

Einer der Gründe, warum eine DNS-Vergiftung so gefährlich ist, liegt darin, dass sie sich von DNS-Server zu DNS-Server ausbreiten kann. Im Jahr 2010 führte ein DNS-Vergiftungsereignis dazu, dass die Great Firewall of China vorübergehend den nationalen Grenzen Chinas entkam und das Internet in den USA zensierte, bis das Problem behoben war.

So funktioniert DNS

Wenn Ihr Computer einen Domainnamen wie «google.com» kontaktiert, muss er zuerst seinen DNS-Server kontaktieren. Der DNS-Server antwortet mit einer oder mehreren IP-Adressen, über die Ihr Computer auf google.com zugreifen kann. Ihr Computer stellt dann eine direkte Verbindung zu dieser numerischen IP-Adresse her. DNS konvertiert lesbare Adressen wie «google.com» in computerlesbare IP-Adressen wie «173.194.67.102».

DNS-Caching

Das Internet hat nicht nur einen einzigen DNS-Server, da dies äußerst ineffizient wäre. Ihr Internetdienstanbieter betreibt eigene DNS-Server, die Informationen von anderen DNS-Servern zwischenspeichern. Ihr Heimrouter fungiert als DNS-Server, der Informationen von den DNS-Servern Ihres Internetdienstanbieters zwischenspeichert. Ihr Computer verfügt über einen lokalen DNS-Cache, sodass er schnell auf bereits durchgeführte DNS-Suchvorgänge verweisen kann, anstatt immer wieder eine DNS-Suche durchzuführen.

DNS-Cache-Vergiftung

Ein DNS-Cache kann vergiftet werden, wenn er einen falschen Eintrag enthält. Wenn ein Angreifer beispielsweise die Kontrolle über einen DNS-Server erhält und einige der darauf enthaltenen Informationen ändert – beispielsweise könnte er sagen, dass google.com tatsächlich auf eine IP-Adresse verweist, die der Angreifer besitzt -, weist der DNS-Server seine Benutzer an, nachzuschauen für Google.com an der falschen Adresse. Die Adresse des Angreifers kann eine Art böswilliger Phishing-Website enthalten

Eine solche DNS-Vergiftung kann sich ebenfalls ausbreiten. Wenn beispielsweise verschiedene Internetdienstanbieter ihre DNS-Informationen vom gefährdeten Server erhalten, wird der vergiftete DNS-Eintrag an die Internetdienstanbieter weitergegeben und dort zwischengespeichert. Es wird dann auf Heimrouter und die DNS-Caches auf Computern übertragen, wenn diese den DNS-Eintrag nachschlagen, die falsche Antwort erhalten und ihn speichern.

Die große Firewall Chinas breitet sich in den USA aus

Dies ist nicht nur ein theoretisches Problem – es ist in der realen Welt in großem Maßstab passiert. Chinas Great Firewall funktioniert unter anderem durch Blockieren auf DNS-Ebene. Beispielsweise kann bei einer in China blockierten Website wie twitter.com die DNS-Einträge auf eine falsche Adresse auf DNS-Servern in China verweisen. Dies würde dazu führen, dass Twitter auf normale Weise nicht zugänglich ist. Stellen Sie sich das vor, als China absichtlich seine eigenen DNS-Server-Caches vergiftet.

Im Jahr 2010 hat ein Internetdienstanbieter außerhalb Chinas seine DNS-Server fälschlicherweise so konfiguriert, dass Informationen von DNS-Servern in China abgerufen werden. Es hat die falschen DNS-Einträge aus China abgerufen und auf seinen eigenen DNS-Servern zwischengespeichert. Andere Internetdienstanbieter haben DNS-Informationen von diesem Internetdienstanbieter abgerufen und auf ihren DNS-Servern verwendet. Die vergifteten DNS-Einträge verbreiteten sich weiter, bis einige Menschen in den USA daran gehindert wurden, über ihre amerikanischen Internetdienstanbieter auf Twitter, Facebook und YouTube zuzugreifen. Die Great Firewall of China war außerhalb ihrer Landesgrenzen „durchgesickert“ und hatte Menschen aus anderen Teilen der Welt daran gehindert, auf diese Websites zuzugreifen. Dies fungierte im Wesentlichen als groß angelegter DNS-Vergiftungsangriff. ((Quelle.)

Die Lösung

Der wahre Grund, warum eine DNS-Cache-Vergiftung ein solches Problem darstellt, liegt darin, dass es keine echte Möglichkeit gibt, festzustellen, ob die erhaltenen DNS-Antworten tatsächlich legitim sind oder ob sie manipuliert wurden.

Die langfristige Lösung für DNS-Cache-Vergiftungen ist DNSSEC. Mit DNSSEC können Unternehmen ihre DNS-Einträge mithilfe der Kryptografie mit öffentlichem Schlüssel signieren. So wird sichergestellt, dass Ihr Computer weiß, ob einem DNS-Eintrag vertraut werden sollte oder ob er vergiftet wurde, und an einen falschen Speicherort umgeleitet wird.

Bildnachweis: Andrew Kuznetsov auf Flickr, Jemimus auf Flickr, NASA