Was ist DNS Poisoning?

DNS Poisoning ist ein weit gefasster Begriff, der sich auf jeden Angriff bezieht, der die Integrität des Domain Name System (DNS) gefährdet, um Benutzer auf bösartige Websites umzuleiten. Stellen Sie sich DNS als das Telefonbuch des Internets vor. Es übersetzt von Menschen lesbare Domänennamen wie http://www.ovhcloud.com/in maschinenlesbare IP-Adressen, die Computer zum Suchen von Websites verwenden.

web

Wenn DNS vergiftet wird, wird dieses Telefonbuch manipuliert, was dazu führt, dass Benutzer Websites vortäuschen, die rechtmäßige Websites nachahmen.

Diese gefälschten Websites können dann verwendet werden, um sensible Informationen wie Anmeldeinformationen oder Kreditkartendaten zu stehlen oder Malware auf den Geräten argloser Opfer zu installieren. Im Wesentlichen bringt eine DNS-Vergiftung Ihren Computer dazu, sich an den falschen Online-Standort zu begeben, und riskiert damit Ihre Daten und Ihre Privatsphäre.

Dies kann durch die Manipulation von Hostdateien erreicht werden, bei denen der Angreifer Hostdateien auf dem Gerät eines Benutzers ändert, um einen Domänennamen in die falschen IP-Adressen aufzulösen. Rogue-DNS-Server sind ebenfalls ein häufiger Übeltäter, da Angreifer böswillige DNS-Server einrichten und Clients zu deren Verwendung verleiten.  

Was ist DNS Cache Poisoning?

Jedes Mal, wenn Sie eine Website besuchen möchten, bittet Ihr Computer einen DNS-Resolver - einen speziellen Server, der sich wie ein Bibliothekar verhält -, die richtige IP-Adresse für das Webhosting zu ermitteln. Um das Tempo zu erhöhen, speichert der Bibliothekar kürzlich nachgeschlagene Nummern in seinem „Cache“, sodass nicht jedes Mal das gesamte Telefonbuch durchsucht werden muss.

DNS Cache Poisoning nutzt diese Verknüpfung aus.  Ein Angreifer bringt den DNS-Resolver dazu, eine falsche Nummer mit einem rechtmäßigen Namen zu verknüpfen, z. B. indem er eine falsche Adresse für die Website Ihrer Bank auflistet.

Nach dem Angriff leiten Anforderungen an den DNS-Cacheserver die Anforderung an einen falschen Eintrag um. Dieser „vergiftete“ Eintrag verbleibt für einige Zeit im Cache und führt möglicherweise mehrere Benutzer in die Irre, bis er gelöscht oder aktualisiert wird.

Wie funktioniert das DNS-Caching?

DNS-Caching ist ein Mechanismus, der die Effizienz und Geschwindigkeit der Auflösung von Domänennamen verbessert. Wenn das Gerät eines Benutzers auf eine Website zugreifen muss, initiiert das Betriebssystem oder die Anwendung eine DNS-Abfrage, um den Domänennamen in eine IP-Adresse aufzulösen.

Diese Abfrage wird in der Regel an einen rekursiven DNS-Resolver gesendet, der häufig von einem Internetdienstanbieter oder einem dedizierten DNS-Anbieter betrieben wird.

Die entsprechende IP-Adresse wird im Cache gespeichert, wenn der Konfliktlöser zuvor denselben Domänennamen aufgelöst hat. Der Konfliktlöser gibt die IP-Adresse sofort aus dem Cache zurück, sodass keine Abfrage von autorisierenden Namenservern erforderlich ist. Dieser Prozess verringert die Latenz erheblich und verbessert die Ladezeiten der Website für Benutzer.

Angenommen, der Konfliktlöser verfügt nicht über den angeforderten Domänennamen im Cache. In diesem Fall leitet es eine Reihe von Abfragen an autoritative Namenserver ein, um die korrekte IP-Adresse zu erhalten. Durch die DNS-Zwischenspeicherung werden primäre Domänennamen und DNS-Subdomänen aufgelöst, wodurch ein schnellerer Zugriff auf subdomänenspezifische Inhalte sichergestellt wird.

Bei diesem Prozess werden Stammserver, Top-Level-Domänenserver (TLD) und die autorisierenden Namensserver für die jeweilige Domäne abgefragt. Sobald der Konfliktlöser die IP-Adresse erhält, speichert er sie für die zukünftige Verwendung in seinem Cache und sendet sie an das anfordernde Gerät zurück.

Wie führen Angreifer DNS Cache Poisoning durch?

Angreifer verwenden in der Regel Techniken, die die mangelnde Authentifizierung und Integritätsprüfungen im herkömmlichen DNS ausnutzen. Hier ist eine Aufschlüsselung des DNS-Angriffsprozesses:

Ausnutzung von Vorhersage- und Rassenbedingungen: Angreifer initiieren häufig eine große Anzahl von DNS-Anforderungen für eine Zieldomäne an einen anfälligen DNS-Resolver.  Gleichzeitig senden sie eine gefälschte DNS-Antwort mit einer bösartigen IP-Adresse, in der Hoffnung, dass diese vor der legitimen Antwort des autoritativen Namenservers eintrifft. Dies nutzt das prädiktive Verhalten des Auflösers aus und erzeugt eine Racebedingung.

Man-in-the-Middle-Angriffe : Angreifer können sich zwischen einem Benutzer und einem DNS-Resolver positionieren und DNS-Abfragen und -Antworten abfangen und manipulieren. Durch gefälschte Antworten können sie Benutzer ohne ihr Wissen auf bösartige Websites umleiten. Dies kann durch ARP-Spoofing oder die Beeinträchtigung der Netzwerkinfrastruktur erreicht werden.

Gefährdung von autoritativen Namenservern : In einigen Fällen können Angreifer unbefugten Zugriff auf die autoritativen Namenserver einer Domain erlangen. Auf diese Weise können die DNS-Einträge direkt geändert werden, sodass das gesamte DNS-System für diese Domäne vergiftet wird.

Einige DNS-Resolver sind als „Open Resolver“ konfiguriert. Das heißt, sie akzeptieren und verarbeiten DNS-Abfragen von einer beliebigen Quelle im Internet. Angreifer können diese offenen Resolver ausnutzen, um ihre Angriffe zu verstärken oder die Caches anderer Resolver, die von ihnen abhängig sind, zu vergiften.

Wie entdeckt, verhindert und repariert man DNS Poisoning?

DNS-Vergiftungen können schwierig zu erkennen sein, aber einige rote Flags können auf ein potenzielles Problem hinweisen. Es könnte ein Zeichen für eine DNS-Vergiftung sein, wenn Sie unerwartet auf eine Website weitergeleitet werden, die anders aussieht oder Anmeldeinformationen anfordert, obwohl dies nicht der Fall sein sollte.

Andere Indikatoren sind Diskrepanzen in Sicherheitszertifikaten, ungewöhnliche Websiteadressen oder Schwierigkeiten beim Zugriff auf früher zugängliche Websites. Die Vermeidung von DNS-Vergiftungen erfordert einen vielschichtigen Ansatz:

1. Implementieren von DNS-Sicherheitserweiterungen (DNSSEC): DNSSEC fügt DNS-Einträgen eine Authentifizierungsebene hinzu, die es Angreifern erheblich erschwert, falsche Informationen einzuschleusen. Es verwendet digitale Signaturen, um die Authentizität von DNS-Daten zu überprüfen und sicherzustellen, dass die von Resolvern empfangenen Informationen echt sind.

2. Verwenden Sie sichere DNS-Auflöser: Setzen Sie auf seriöse DNS-Resolver von vertrauenswürdigen Organisationen wie Google Public DNS oder Cloudflare. Diese Resolver setzen oft Sicherheitsmaßnahmen ein, um DNS-Poisoning-Angriffe abzuwehren.

3. DNS-Software regelmäßig aktualisieren: Halten Sie Ihr Betriebssystem, Ihren Browser und Ihre DNS-Server-Software auf dem neuesten Stand. Softwareupdates enthalten oft Sicherheitspatches, die bekannte Schwachstellen beheben, die von Angreifern ausgenutzt werden.

4. DNS-Aktivität überwachen: Implementieren Sie Netzwerküberwachungstools, um DNS-Abfragen und -Antworten zu verfolgen. Dies kann dabei helfen, ungewöhnliche Muster oder verdächtige Aktivitäten zu erkennen, die auf einen Angriff hindeuten können.

5. Benutzer schulen : Trainieren Sie die Benutzer, um potenzielle Anzeichen einer DNS-Vergiftung zu erkennen, wie unerwartete Weiterleitungen von Websites oder Anfragen nach sensiblen Informationen. Ermutigen Sie sie, verdächtige Aktivitäten zu melden.

Wenn Sie eine DNS-Vergiftung vermuten, gehen Sie wie folgt vor, um das Problem zu beheben. Je schneller die Lösung erreicht wird, desto besser für Ihr Unternehmen und Ihre Kunden:

  1. Leeren des DNS-Cache: Durch Löschen des DNS-Cache werden alle möglicherweise beschädigten Datensätze entfernt. Dazu können Sie Befehlszeilentools verwenden oder Ihren Router und Ihre Geräte neu starten.
     
  2. DNS-Server ändern: Wechseln Sie zu einem anderen, sichereren DNS-Resolver.
     
  3. Die Quelle untersuchen und abschwächen: Wenn die Vergiftung von Ihrem Netzwerk herrührt, identifizieren Sie das gefährdete Gerät oder den gefährdeten Server und ergreifen Sie die entsprechenden Maßnahmen, um die bösartige Software oder Konfiguration zu entfernen.

Was ist der Unterschied zwischen DNS Spoofing und DNS Poisoning?

Obwohl die Begriffe häufig synonym verwendet werden, gibt es einen feinen Unterschied zwischen DNS-Spoofing und DNS-Vergiftung. DNS-Spoofing ist ein weiter gefasster Begriff, der jeden Angriff umfasst, der darauf abzielt, DNS-Daten zu verfälschen, einschließlich der Änderung von DNS-Einträgen, um Benutzer auf bösartige Websites umzuleiten.

DNS-Vergiftung (DNS-Cache-Vergiftung) ist ein spezifischer Typ von DNS-Spoofing, der sich auf die Beschädigung der zwischengespeicherten DNS-Einträge auf einem DNS-Resolver konzentriert. 

Im Wesentlichen ist DNS-Vergiftung eine Methode, um DNS-Spoofing zu erreichen, aber auch andere Techniken wie Man-in-the-Middle-Angriffe oder die Kompromittierung von autoritativen Namenservern fallen unter den Dach des DNS-Spoofings.

OVHcloud und DNSSEC

OVHcloud DNSSEC ist die ideale Lösung, um die Sicherheit Ihrer Domain zu erhöhen. DNSSEC oder Domain Name System Security Extensions ist eine Spezifikationssuite, die dem Domain Name System (DNS) eine zusätzliche Sicherheitsebene hinzufügt.

DNSSEC verwendet digitale Signaturen, um die Authentizität von DNS-Daten zu überprüfen. Wenn ein Benutzercomputer die IP-Adresse Ihrer Domain anfordert, überprüft OVHcloud DNSSEC, ob die Antwort von einem autorisierten DNS-Server stammt und ob die Daten nicht manipuliert wurden. Zu den Vorteilen von OVHcloud DNSSEC gehören:

  • Mehr Sicherheit Schützen Sie Ihre Website und Benutzer vor DNS-basierten Angriffen.  
  • Verbessertes Vertrauen: Zeigen Sie Ihren Kunden, dass Sie ihre Sicherheit ernst nehmen.
  • Einfach zu aktivieren: DNSSEC mit nur einem Klick im OVHcloud Kundencenter aktivieren.

OVHcloud und DNS Poisoning

DNSSEC-Illustration

DNSSEC ist bei allen Domainnamen von OVHcloud inklusive. Mit OVHcloud DNSSEC haben Sie die Gewissheit, dass Ihre Domain vor einer Vielzahl von Angriffen geschützt ist.
Durch die Implementierung von DNSSEC schützen Sie Ihren Domainnamen und Ihre Benutzer vor DNS-Spoofing, Cache-Vergiftung und anderen Angriffen, die Ihre Daten und Ihren Ruf gefährden können.
domains

Wenn Sie einen Domainnamen registrieren möchten, bietet OVHcloud darüber hinaus eine große Auswahl an Optionen. Finden Sie den perfekten Domainnamen für Ihr Unternehmen oder Ihre Organisation und lassen Sie sich schnell und einfach registrieren.
Hosted Private Cloud Icon

Darüber hinaus bietet OVHcloud verschiedene Webhosting-Lösungen für Ihre Anforderungen. Ob Shared Hosting, VPS-Hosting oder Dedicated Server - hier finden Sie die ideale Lösung für Ihre Website. Mit dem zuverlässigen und erschwinglichen Webhosting von OVHcloud ist Ihre Website schnell einsatzbereit.