Umfassender Leitfaden zum Verständnis des DNS-Poisoning

Was ist ein DNS-Poisoning-Angriff?

Das DNS bildet die Infrastruktur des Internets und übersetzt menschenfreundliche Text-Domainnamen in numerische Internetprotokolladressen (IP-Adressen), die von Computern erkannt werden. Wenn Nutzer eine Website-URL in einen Browser eingeben, werden eine Reihe von Internetabfragen gestartet. Dieser komplexe Vorgang leitet die Nutzer:innen in der Regel innerhalb von Millisekunden zu ihrem gewünschten Ziel im Internet weiter.

Diese Internetanfragen gehen zunächst an den Internet Service Provider (ISP), und wenn der ISP die IP-Adresse zwischengespeichert (gespeichert) hat, wird der Computer zum richtigen Webstandort weitergeleitet. Wurde der ISP kompromittiert, haben Cyberkriminelle die zwischengespeicherte IP-Adresse durch eine von ihnen kontrollierte betrügerische Website ersetzt. In diesem Fall leiten sie den Webdatenverkehr eines Unternehmens auf Inhalte ihrer Wahl um.

Einfach ausgedrückt greifen Angreifende auf Server (wie ISPs) zu und ersetzen die gespeicherten Informationen durch eigene, bösartige Websites. Dieser Vorgang wird als DNS-Poisoning bezeichnet. Diese Art von Angriff wird auch als Cache-Poisoning, DNS-Cache-Poisoning oder Domain-Poisoning bezeichnet.

Das Ergebnis ist DNS-Spoofing, bei dem Besucher:innen Ihrer Website auf eine markengleiche, aber betrügerische Website weitergeleitet werden. Dort geben sie unwissentlich sensible und vertrauliche Informationen oder Zugangsdaten preis, da sie glauben, mit dem legitimen Unternehmen zu interagieren. Dabei laden sie möglicherweise auch Malware und Viren herunter.

DNS-Cache-Poisoning-Angriffe vs. DNS-Spoofing-Angriffe

DNS-Poisoning ist eine Art DNS-Spoofing-Angriff. Bei einem DNS-Spoofing-Angriff werden falsche DNS-Daten eingeführt, um Nutzer:innen ohne ihr Wissen auf betrügerische Websites zu leiten. DNS-Cache-Poisoning zielt speziell auf die Caching-Mechanismen von DNS-Resolvern ab und injiziert bösartige Einträge, die so lange bestehen bleiben, bis der Cache abläuft oder manuell gelöscht wird. Ein manipulierter DNS-Eintrag kann nicht nur den direkten Zugriff auf Websites beeinträchtigen, sondern auch andere internetbasierte Dienste, die von Webanfragen abhängig sind.

Cache-Poisoning vs. DNS-Hijacking

Anders als beim DNS-Hijacking, bei dem die DNS-Einstellungen auf Domain-Ebene geändert werden, manipuliert Cache-Poisoning die im Cache eines DNS-Resolvers gespeicherten Antworten. Das heißt, selbst wenn die offiziellen DNS-Einträge eines Unternehmens sicher sind, können sich Nutzer:innen, die sich auf kompromittierte Resolver verlassen, aufgrund manipulierter Cache-Schlüssel immer noch in die falsche Richtung leiten lassen. Die Auswirkungen sind in der Regel nur vorübergehend und betreffen lediglich Nutzer:innen, die sich auf diesen manipulierten DNS-Server verlassen. Die Sicherheitslücke ist geschlossen, sobald der Cache gelöscht oder aktualisiert wurde.

Beim DNS-Hijacking wird die direkte Kontrolle über die DNS-Einstellungen einer Domain übernommen. Die Auswirkungen dauern an, bis die DNS-Einträge manuell korrigiert werden.

DNS-Cache-Poisoning vs. Web-Cache-Poisoning

DNS-Cache-Poisoning und Web-Cache-Poisoning werden manchmal miteinander verwechselt, obwohl es sich um unterschiedliche Bedrohungen handelt. Bei DNS-Cache-Poisoning werden DNS-Resolver-Caches manipuliert, um Nutzer:innen auf betrügerische Websites umzuleiten. Web-Cache-Poisoning nutzt hingegen Schwachstellen in HTTP-Headern oder Caching-Mechanismen aus, um bösartige Inhalte zu speichern und bereitzustellen. Beide Verfahren beinhalten das Speichern von Datenkopien an temporären Speicherorten (Caching), unterscheiden sich jedoch in der Auswirkung: DNS-Cache-Poisoning beeinflusst, wie Nutzer und Nutzerinnen eine Website erreichen, während Web-Cache-Poisoning Einfluss darauf hat, welche Inhalte ihnen nach dem Aufrufen der Website angezeigt werden.

Folgen von Domain-Poisoning

Obwohl DNS-Cache-Poisoning in den letzten Jahren seltener geworden ist, stellt es nach wie vor eine Bedrohung für Unternehmen dar. Es erhöht die Anfälligkeit und ebnet den Weg für schwerwiegendere Angriffe sowie Phishing-Betrug. Die Umleitung von Besuchern:innen von der eigentlichen Website schadet dem Ruf einer Marke, führt zu Umsatzverlusten und untergräbt das Vertrauen der Kunden. Darüber hinaus können Unternehmen nach einem Sicherheitsvorfall mit rechtlichen Konsequenzen konfrontiert werden.

So erkennen Sie DNS-Cache-Poisoning

Das offensichtlichste Anzeichen für Probleme bei dieser Art von Aktivitäten ist, wenn Kunden:innen und Angestellte melden, dass sie auf der falschen Website landen oder ungewöhnliche Fehlermeldungen bekommen. Weitere Warnsignale sind beispielsweise nicht übereinstimmende IP-Adressen in DNS-Einträgen sowie plötzlich auftretende Spitzen bei Abfragen zu unbekannten oder selten genutzten Domains. Glücklicherweise können automatisierte Überwachungstools die Integrität von DNS-Einträgen fortlaufend überprüfen und etwaige Unstimmigkeiten erkennen.

So beheben Sie einen Cache-Poisoning-Angriff

Unternehmen müssen im Falle eines Verstoßes schnell handeln, um Schäden zu minimieren. Der erste Schritt besteht darin, den DNS-Cache auf den betroffenen Servern zu löschen. Dadurch werden alle vom Eindringling hinzugefügten falschen Einträge entfernt und der DNS-Server wird dazu gezwungen, die korrekten Informationen aus vertrauenswürdigen Quellen abzurufen.

Dies kann in der Regel über Systembefehle erfolgen. Diese genauen Schritte hängen vom verwendeten Betriebssystem oder der verwendeten DNS-Software ab. Zum Beispiel:

• Auf Windows-Servern: Verwenden Sie den Befehl „ipconfig /flushdns“.

• Auf Linux- oder macOS-Servern: Verwenden Sie je nach System den Befehl „sudo systemd-resolve --flush-caches“ oder „sudo dscacheutil -flushcache“.

Überprüfen Sie nach dem Leeren des Caches, ob der DNS-Server die richtigen Informationen aus vertrauenswürdigen Quellen abruft.

So verhindern Sie DNS-Poisoning

Um die Sicherheit und Widerstandsfähigkeit eines Netzwerks zu gewährleisten, ist es am besten, von Anfang an die Abwehrmaßnahmen zu stärken.

Schützen Sie Website-Besucher:innen vor gefälschten DNS-Daten, indem Sie DNS-Sicherheitserweiterungen (DNSSEC) verwenden. Als das DNS erstmals entwickelt wurde, spielte Sicherheit keine vorrangige Rolle. DNSSEC wurde entwickelt, um dieses Versäumnis zu beheben: DNS-Anfragen und -Antworten werden mithilfe digitaler Signaturen überprüft.

Die Einführung von DNSSEC hat in den letzten Jahren zwar stetig zugenommen, ist aber noch lange nicht allgemein üblich. Es handelt sich dabei jedoch um eine der am häufigsten empfohlenen Sicherheitsmaßnahmen zur Verhinderung von DNS-Cache-Poisoning.

Weitere Möglichkeiten, DNS-Cache-Poisoning zu verhindern, sind:

• Auswahl eines zuverlässigen DNS-Anbieters, der einen guten Ruf in puncto Sicherheit genießt
• Beschränkung rekursiver DNS-Abfragen und Zonentransfers auf vertrauenswürdige Nutzer:innen
• Reduzierung des Time-to-Live-Werts (TTL) für DNS-Einträge, um zu begrenzen, wie lange potenziell manipulierte Daten im Cache verbleiben
• Überwachung des DNS-Datenverkehrs auf Anomalien wie unerwartete Spitzen oder unregelmäßige Muster, die auf Poisoning-Versuche hindeuten können

Unternehmen können ihre Domains und Kunden:innen besser vor Gefahren schützen, indem sie Maßnahmen wie DNSSEC implementieren, einen vertrauenswürdigen DNS-Anbieter nutzen und eine sorgfältige Überwachung durchführen.

Verwenden Sie einen zuverlässigen DNS-Dienst

Die Auswahl einer hervorragenden DNS-Sicherheitsplattform hilft Ihnen dabei, Angriffe wie DNS-Cache-Poisoning zu vermeiden. Bei CSC bieten wir Ihnen fortschrittliche Sicherheitslösungen wie DNSSEC. Damit schützen wir Ihre Infrastruktur und gewährleisten die Integrität Ihrer Online-Präsenz. Warten Sie nicht, bis ein Ereignis Ihren Betrieb beeinträchtigt. Kontaktieren Sie uns noch heute, um zu erfahren, wie Sie Ihre Marke vor neuen Bedrohungen schützen können!