Was ist DNS Poisoning? (auch bekannt als DNS Spoofing)

DNS poisoning ist eine Art Spoofing-Angriff, bei dem sich Hacker als ein anderes Gerät, ein anderer Client oder ein anderer Benutzer ausgeben. Diese Tarnung erleichtert es ihnen, geschützte Informationen abzufangen oder den normalen Internetverkehr zu unterbrechen.

Bei einem DNS Cache-Poisoning-Angriff ändern Hacker ein Domänennamensystem (DNS) in ein "gefälschtes" DNS , so dass ein legitimer Benutzer, der eine Website besuchen will, statt auf dem beabsichtigten Ziel zu landen, tatsächlich auf einer völlig anderen Website landet. In der Regel geschieht dies, ohne dass die Benutzer es merken, da die gefälschten Websites oft so aussehen, als wären sie echt.

Stellen Sie sich vor, Sie sagen jemandem, dass Sie an einer bestimmten Adresse wohnen, und gehen dann in diese Gegend und ändern alle Straßennamen und Hausnummern, so dass sie tatsächlich an der falschen Adresse oder in einem völlig anderen Haus landen.

Ist der Angriff erst einmal im Gange und wird der Datenverkehr auf den illegalen Server umgeleitet, können die Hacker bösartige Aktivitäten wie einen Man-in-the-Middle-Angriff (z. B. Diebstahl sicherer Anmeldeinformationen für Bank-Websites) durchführen, einen Virus auf den Computern der Besucher installieren, um unmittelbaren Schaden anzurichten, oder sogar einen Wurm installieren, um den Schaden auf andere Geräte zu übertragen.

Um zu verstehen, wie DNS poisoning funktioniert, muss man wissen, wie das Internet Nutzer zum Besuch verschiedener Websites leitet.

Jedes Gerät und jeder Server hat eine eindeutige Internet-Protokoll-Adresse (IP), eine Reihe von Zahlen, die in der Kommunikation als Identifikatoren verwendet werden. Jede Website hat einen Domänennamen (z. B. www.keyfactor.com), der darauf aufbaut, um es den Internetnutzern zu erleichtern, die gewünschten Websites zu besuchen. Das Domänennamensystem (auch bekannt als DNS) ordnet dann den Domänennamen, den die Benutzer eingeben, der entsprechenden IP-Adresse zu, um den Datenverkehr ordnungsgemäß weiterzuleiten, der dann über die Server von DNS abgewickelt wird.

DNS Poisoning nutzt Schwachstellen in diesem Verfahren aus, um den Datenverkehr an eine unzulässige IP-Adresse umzuleiten. Konkret verschaffen sich Hacker Zugang zu einem DNS -Server, so dass sie dessen Verzeichnis so anpassen können, dass der von den Nutzern eingegebene Domänenname auf eine andere, falsche IP-Adresse verweist.

Sobald sich jemand Zugang zu einem DNS Server verschafft und beginnt, den Verkehr umzuleiten, handelt es sich um DNS Spoofing. DNS Cache Poisoning geht noch einen Schritt weiter. Beim DNS Cache Poisoning legt das Gerät eines Benutzers die unzulässige IP-Adresse in seinem Cache (auch Speicher genannt) ab. Das bedeutet, dass das Gerät den Benutzer automatisch zu der unrechtmäßigen IP-Adresse weiterleitet - auch nachdem das Problem behoben wurde.

Die größte Schwachstelle, die diese Art von Angriffen ermöglicht, ist die Tatsache, dass das gesamte System für die Weiterleitung des Web-Datenverkehrs eher für die Skalierung als für die Sicherheit entwickelt wurde. Das derzeitige Verfahren basiert auf dem so genannten User Datagram Protocol (UDP), einem Verfahren, bei dem weder Absender noch Empfänger überprüfen müssen, ob sie zur Kommunikation bereit sind oder wer sie sind. Diese Schwachstelle ermöglicht es Hackern, Identitätsinformationen zu fälschen (was keine zusätzliche Überprüfung erfordert) und in den Prozess einzugreifen, um die Umleitung von DNS Servern zu starten.

Dies ist zwar eine enorme Sicherheitslücke, aber nicht so einfach, wie es klingt. Um dies effektiv zu bewerkstelligen, muss ein Hacker innerhalb weniger Millisekunden auf eine Anfrage antworten, bevor die legitime Quelle aktiv wird, und in seiner Antwort detaillierte Informationen wie den Port, den der DNS Resolver verwendet, und die Anfrage-ID-Nummer angeben.

DNS Poisoning birgt mehrere Risiken für Einzelpersonen und Unternehmen gleichermaßen. Eines der größten Risiken im Zusammenhang mit DNS poisoning besteht darin, dass es sehr schwierig werden kann, das Problem zu beheben, wenn ein Gerät erst einmal Opfer davon geworden ist, insbesondere DNS cache poisoning, da das Gerät standardmäßig auf die unzulässige Website zurückkehrt.

Darüber hinaus kann DNS poisoning für Benutzer extrem schwer zu erkennen sein, insbesondere in Fällen, in denen Hacker die gefälschte Website, auf die sie den Datenverkehr leiten, fast identisch mit der echten aussehen lassen. In diesen Fällen haben die Benutzer wahrscheinlich keine Ahnung, dass es sich um eine gefälschte Website handelt, und geben vertrauliche Informationen wie gewohnt ein, ohne zu merken, dass sie sich und/oder ihr Unternehmen einem ernsthaften Risiko aussetzen.

Zu den größten Gefahren bei dieser Art von Angriffen gehören:

Sobald Nutzer auf betrügerische Websites geleitet werden, können Hacker sich Zugang verschaffen und eine Vielzahl von Viren und Malware auf ihren Geräten installieren. Dies kann von einem Virus, der das eigene Gerät (und andere Geräte, mit denen es in Kontakt kommt) infizieren soll, bis hin zu Malware reichen, die den Hackern ständigen Zugriff auf das Gerät und die darauf gespeicherten Informationen ermöglicht.

DNS Vergiftungen bieten Hackern eine einfache Möglichkeit, Informationen zu stehlen, z. B. Logins für sichere Websites (von Banken bis hin zu Unternehmenssystemen, die geschützte Informationen enthalten), personenbezogene Daten wie Sozialversicherungsnummern und andere sensible Informationen wie Zahlungsinformationen.

Böswillige Akteure können DNS nutzen, um schweren langfristigen Schaden anzurichten, indem sie den Datenverkehr von Sicherheitsanbietern umleiten und so verhindern, dass Geräte wichtige Patches und Updates erhalten, die die Sicherheit verbessern. Auf diese Weise werden die Geräte im Laufe der Zeit anfälliger und öffnen die Tür für zahlreiche andere Arten von Angriffen wie Trojaner und Viren.

Es hat in der Vergangenheit Fälle gegeben, in denen Regierungen über DNS poisoning in den Internetverkehr ihres Landes eingegriffen haben, um bestimmte Informationen zu zensieren. Diese Eingriffe haben es diesen Regierungen ermöglicht, den Verkehr von Bürgern zu Websites zu blockieren, die Informationen enthalten, die sie nicht sehen wollen.

In den letzten Jahren gab es mehrere öffentlichkeitswirksame DNS Vergiftungsangriffe, die die Gefahren dieser Art von Angriffen deutlich machen.

Im Jahr 2018 gelang es einer Gruppe von Dieben, einen DNS Poisoning-Angriff auf AWS zu starten, um den Datenverkehr von mehreren auf diesem System gehosteten Domains umzuleiten. Einer der bemerkenswertesten dieser Angriffe konzentrierte sich auf die Kryptowährungs-Website MyEtherWallet.

Konkret leiteten die Diebe den Datenverkehr von Personen, die versuchten, sich bei ihrem MyEtherWallet-Konto anzumelden, auf eine gefälschte Website um, um ihre Anmeldedaten zu erfassen. Von dort aus nutzte die Gruppe diese Informationen, um auf die tatsächlichen Konten der Nutzer zuzugreifen und ihre Gelder abzuziehen. Insgesamt stahl die Gruppe während dieses DNS Vergiftungsangriffs die Kryptowährung Ethereum im Wert von etwa 17 Millionen Dollar.

Im Jahr 2015 startete eine Hackergruppe namens Lizard Squad einen DNS -Vergiftungsangriff auf Malaysia Airlines, bei dem sie Website-Besucher auf eine gefälschte Website umleiteten, die sie dazu aufforderte, sich einzuloggen, nur um von einer 404-Meldung und dem Bild einer Echse begrüßt zu werden.

Erstens richtete dieser Angriff erheblichen Schaden bei der Fluggesellschaft an, die bereits ein schwieriges Jahr hinter sich hatte, in dem zwei Flüge ausgefallen waren. Zweitens warf er ernsthafte Fragen darüber auf, ob die Hackergruppe persönliche Daten von Nutzern gestohlen hat, die an dem Angriff beteiligt waren und sich auf der gefälschten Website angemeldet haben.

Im Jahr 2010 stellten Internetnutzer in Chile und den Vereinigten Staaten fest, dass ihr Datenverkehr zu Websites wie Facebook, Twitter und YouTube umgeleitet wurde, weil sie unter die Kontrolle von Servern in China gerieten.

China hatte seine eigenen Server durch DNS poisoning absichtlich manipuliert, um eine Form der Zensur zu erreichen. In diesem Fall wurden Nutzer außerhalb Chinas zu den Servern des Landes umgeleitet und wurden Opfer dieser Zensur, indem sie den Zugang zu Websites verloren, die China für seine Bürger gesperrt hatte.

DNS Vergiftungsangriffe sind deshalb so gefährlich, weil sie schwer zu erkennen und schwer zu beheben sind, wenn sie sich erst einmal festgesetzt haben (insbesondere im Fall von DNS cache poisoning). Es gibt jedoch mehrere Maßnahmen, die Sie ergreifen können, um Ihr Unternehmen besser vor den Risiken zu schützen, die von DNS poisoning-Angriffen ausgehen. Einige der besten Möglichkeiten, Ihr Unternehmen zu schützen, sind:

Die Einführung von DNSSEC ist einer der wertvollsten Schritte, die Sie zum Schutz vor DNS poisoning-Angriffen unternehmen können. Ganz einfach: DNSSEC ist ein zusätzlicher Schritt zur Überprüfung der Daten von DNS - etwas, das bei den aktuellen Internet-Protokollen nicht zum Standard gehört.

DNNSEC stützt sich auf die Kryptographie mit öffentlichen Schlüsseln, um diese Überprüfung zu ermöglichen. Insbesondere verwendet es die zertifikatsbasierte Authentifizierung, um die Root-Domäne von DNS zu überprüfen, die auf eine Anfrage antwortet, und um sicherzustellen, dass sie dazu berechtigt ist. Außerdem wird geprüft, ob der Inhalt der Antwort vertrauenswürdig ist und ob dieser Inhalt während der Übertragung verändert wurde oder nicht.

Eine weitere wichtige Maßnahme, die Sie ergreifen können, ist die Verschlüsselung von Daten, die in DNS Anfragen und Antworten enthalten sind. Dies bietet einen zusätzlichen Schutz, indem es Hacker, die diese Daten abfangen könnten, daran hindert, etwas mit ihnen anzufangen.

Selbst wenn es einem Hacker gelingt, diese Daten abzufangen, kann er sie nicht lesen, um die Informationen zu erhalten, die er benötigt, um sie für die Beantwortung künftiger DNS -Anfragen zu duplizieren.

Ihr Unternehmen kann auch Maßnahmen ergreifen, um DNS auf bestimmte Weise zu konfigurieren, die eine zusätzliche Schutzschicht bieten. Erstens können Sie Ihre DNS Server so konfigurieren, dass sie nicht auf Beziehungen zu anderen DNS Servern angewiesen sind. Dadurch wird es für Hacker sehr viel schwieriger, eine Verbindung über ihren eigenen DNS -Server herzustellen, da der Aufbau einer solchen Beziehung im normalen Geschäftsverlauf keinen Sinn mehr macht.

Zweitens können Sie Ihre DNS Server so konfigurieren, dass sie nur eine begrenzte Anzahl von Daten speichern, so dass nur bestimmte Dienste ausgeführt werden können. Durch diese Konfiguration wird vermieden, dass Ihr Server für weitere Daten geöffnet wird, wodurch weitaus mehr potenzielle Schwachstellen entstehen, die von Hackern ausgenutzt werden können.

Wie bei den meisten Systemen werden auch für Ihr DNS regelmäßig System-Updates zur Verfügung stehen. Es ist äußerst wichtig, dass Sie diese Aktualisierungen immer ausführen, damit Sie die neueste Version von DNS verwenden, da diese Aktualisierungen oft neue Sicherheitsprotokolle und Korrekturen für erkannte Sicherheitslücken enthalten. Wenn Sie die neueste Version verwenden, stellen Sie außerdem sicher, dass Sie auch in Zukunft Updates erhalten können.

Obwohl Vorbeugungstaktiken sicherlich wichtig sind, müssen Sie auch einen guten Plan für den Fall haben, dass ein DNS Vergiftungsangriff tatsächlich stattfindet. An dieser Stelle werden starke Erkennungsprotokolle sehr wichtig.

Die besten Erkennungsprotokolle verwenden eine regelmäßige Überwachung, um nach bestimmten Warnzeichen zu suchen. Zwei der wichtigsten Warnzeichen sind (1) eine Zunahme der DNS -Aktivitäten von einer einzigen Quelle über eine einzige Domäne, was auf einen Geburtstagsangriff hindeuten kann, und (2) eine Zunahme der DNS -Aktivitäten von einer einzigen Quelle über mehrere Domänennamen, was auf Versuche hinweisen kann, einen Einstiegspunkt für DNS poisoning zu finden.

Eine weitere wichtige Erkennungstaktik ist die Schulung von Endbenutzern, um sie für potenzielle Risiken zu sensibilisieren. Während DNS Vergiftungsangriffe selbst für gut geschulte Benutzer sehr schwer zu erkennen sind, kann eine gute Schulung sicherlich dazu beitragen, die Verbreitung bestimmter Angriffe einzudämmen.

In Schulungen sollten die Nutzer darauf hingewiesen werden, zu überprüfen, ob Websites ein gültiges SSL/TLS Zertifikat verwenden, nicht auf Links zu klicken, die sie nicht kennen, oder auf Links von Quellen, die sie nicht kennen, den Cache von DNS regelmäßig zu löschen, um sich vor DNS Cache Poisoning zu schützen, und die Sicherheitssoftware software auszuführen, die ihre Geräte auf Anzeichen von Malware überprüft.