Zum Hauptinhalt springen

Was ist DNS?

DNS steht für „Domain Name System“ und ist eine Art Index oder Telefonbuch für das Internet. Damit Sie auf Online-Informationen zugreifen können, übersetzt das DNS eine eingegebene Internetadresse (z. B. kaspersky.com), also den Domänennamen, in die entsprechende IP-Adresse. Denn diese Adresse benötigt der Browser, um Internetressourcen wie zum Beispiel diesen Artikel, den Sie gerade lesen, laden zu können. DNS ist ein weltweites System, das alle Webseiten im Internet nachverfolgt, katalogisiert und reguliert.

Um ein genaueres Bild davon zu bekommen, was das DNS ist, müssen wir uns seine Funktionsweise anschauen. Dazu müssen zunächst ein paar Begriffe geklärt werden:

Die IP-Adresse (Internet Protocol) ist eine Nummer, die jeden Computer und Server eindeutig kennzeichnet. Über diese Nummer können Rechner einander finden und miteinander „sprechen“.

Eine Domäne (oder ein Domänenname) ist ein Textname, den Menschen verwenden, um sich bestimmte Webseiten und deren Server zu merken, sie zu identifizieren und eine Verbindung zu ihnen herzustellen. So wird eine Domäne wie „www.kaspersky.com“ beispielsweise verwendet, um die tatsächliche ID des Zielservers – d. h. seine IP-Adresse – verständlicher darzustellen.

Als Domain Name System-Server (DNS-Server oder Domain-Nameserver) wird eine Gruppe von vier Servertypen bezeichnet, über die der Suchvorgang, d. h. die Auflösung eines Domänenamens in die numerische IP-Adresse erfolgt. Diese Gruppe besteht aus einem auflösenden Nameserver, einem Root-Nameserver, einem TLD-Nameserver (Top-Level-Domain) und einem autoritativen Nameserver. Welche Aufgaben diese einzelnen Server haben, soll im Folgenden erläutert werden.

  1. Der auflösende Nameserver (oder rekursive Resolver) ist die übersetzende Komponente des Suchvorgangs. Bei ihm gehen die Abfragen vom Client (über einen Webbrowser oder eine App) ein und werden an eine Reihe von Webservern (siehe unten) weitergeleitet, um die Ziel-IP-Adresse eines Domänennamens herauszusuchen. Er kann entweder zuvor zwischengespeicherte Daten zurückgeben oder die Anfrage an einen Root-Nameserver übergeben. Der auflösende Nameserver steht während des Suchvorgangs in ständiger Kommunikation mit den nachstehenden Servern.
  2. Der Root-Nameserver (Root-Server) ist der Ausgangspunkt für alle DNS-Suchvorgänge. In der Hierarchie des DNS steht er ganz oben. Ein Root-Server ist ein DNS-Nameserver, der in der Root-Zone arbeitet. Er dient bei der Suche oft als Referenzpunkt.
  3. Der Top-Level-Domain-Nameserver (TLD) befindet sich eine Ebene unterhalb der Root-Zone. Diese nächste Phase im Suchprozess enthält Informationen zu allen Domänennamen mit derselben Erweiterung, also .com, .net usw.
  4. Der autoritative Nameserver ist der letzte Schritt innerhalb der Suche und enthält spezifische Informationen über den gesuchten Domänennamen. Er übergibt dem auflösenden Nameserver die ermittelte IP-Adresse.

Nachdem wir nun definiert haben, was DNS ist und uns welche Server darin involviert sind, können wir uns jetzt die Funktionsweise genauer anschauen.

Wie funktioniert DNS?

Wenn Sie einen Domänennamen in Ihrem Browser eingeben, um eine Webseite aufzurufen, setzen Sie damit einen Suchprozess in Gang, der „Lookup“ genannt wird. Der gesamte Suchvorgang erfolgt in 6 Phasen:

  1. Ihr Webbrowser und Ihr Betriebssystem versuchen, die IP-Adresse abzurufen, die mit dem Domänennamen verknüpft ist. Wenn Sie die Webseite schon früher einmal besucht haben, kann die IP-Adresse auch aus dem Zwischenspeicher des Computers abgerufen werden.
  2. Wenn keine dieser Komponenten die IP-Adresse kennt, geht der Suchvorgang weiter.
  3. Das Betriebssystem fragt beim auflösenden Nameserver an. Damit beginnt die Abfrage ihre Wanderung durch die DNS-Serverkette, bis die passende IP für die Domäne gefunden ist.
  4. Die Anfrage geht zunächst zum Root-Nameserver, der sie (über den Resolver) an den TLD-Server weiterleitet.
  5. Der TLD-Server gibt die Anfrage (wiederum über den Resolver) an den autoritativen Nameserver weiter oder verweist auf ihn.
  6. Sobald der Resolver die IP-Adresse durch die Kommunikation mit dem autoritativen Nameserver gefunden hat, geht die IP über das Betriebssystem an den Webbrowser, und die von Ihnen angeforderte Webseite erscheint an Ihrem Bildschirm.

Der DNS-Lookup-Prozess ist der grundlegende Vorgang, nach dem das gesamte Internet funktioniert. Leider können Kriminelle Schwachstellen im DNS ausnutzen. Für den Benutzer bedeutet das, dass er ständig vor möglichen Betrügereien über unerwünschte Weiterleitungen, die auch als „Spoofing“ und „Poisoning“ bezeichnet werden, auf der Hut sein muss. Um dieser Gefahr zu entgehen, ist es wichtig zu wissen, was man unter DNS-Spoofing und DNS-Poisoning versteht und wie diese Betrugsmaschen funktionieren.

a picture of a DNS server circuit board with a glowing blue chip in the shape of a spider

DNS-Spoofing und DNS-Poisoning: Definition

Als Poisoning und Spoofing werden Cyberangriffe bezeichnet, die darauf abzielen, Schwachstellen in DNS-Servern auszunutzen und Datenverkehr von seriösen Servern auf gefälschte umzuleiten. Wer einmal auf einer betrügerischen Seite gelandet ist, möchte da natürlich nicht wieder hin. Tatsächlich haben Sie das selbst in der Hand. Dafür müssen Sie allerdings genau wissen, wie Sie sich schützen können.

DNS-Spoofing und damit auch DNS-Cache-Poisoning sind in dieser Hinsicht besonders perfide. Solange Sie nicht wissen, wie das Internet eine Verbindung zwischen Ihnen und einer Webseite herstellt, könnten Sie zu dem Trugschluss kommen, die Website selbst sei gehackt worden. Tatsächlich könnte aber Ihr eigenes Gerät das Problem sein. Schlimmer noch: Selbst Cybersicherheitssoftware kann nur einen Teil der DNS-Spoofing-Bedrohungen aufhalten.

So funktioniert DNS-Cache-Poisoning und -Spoofing

In Bezug auf das DNS gibt es zwei wesentliche Bedrohungen:

  1. Beim DNS-Spoofing werden seriöse Serverziele imitiert, um den Datenverkehr einer Domäne dorthin zu leiten. Das ahnungslose Opfer landet durch unterschiedliche Formen von DNS-Spoofing auf einer schädlichen Webseite.
  2. DNS-Cache-Poisoning ist eine spezielle Form des DNS-Spoofing, bei der eine betrügerische IP-Adresse im lokalen Zwischenspeicher des Nutzers abgelegt wird. Das hat zur Folge, dass das DNS diese gefälschte Seite immer wieder aus Ihrem Zwischenspeicher zieht, auch dann noch, wenn das eigentliche Problem längst behoben ist und serverseitig auch nie bestanden hat.

Beim DNS-Spoofing oder Cache-Poisoning angewendete Methoden

Zu den am häufigsten vorkommenden DNS-Spoofing-Methoden gehören:

Man-in-the-Middle-Betrug: Hierbei stellt sich der Angreifer zwischen Ihren Webbrowser und den DNS-Server. Ein Tool wird für das zeitgleiche Cache-Poisoning auf Ihrem lokalen Gerät und Server-Poisoning auf dem DNS-Server verwendet. Ist der Angriff erfolgreich, wird der Nutzer auf eine schädliche Webseite umgeleitet, die auf dem lokalen Server des Angreifers gehostet wird.

Übernahme des DNS-Servers: Kriminelle konfigurieren den Server so um, dass alle anfragenden Nutzer auf die schädliche Webseite weitergeleitet werden. Da der gefälschte DNS-Eintrag im DNS-Server eingetragen ist, führt jede IP-Anfrage nach der Spoofing-Domäne zur gefälschten Webseite.

DNS-Cache-Poisoning per Spam: Der Code für die „Vergiftung“ des DNS-Cache ist häufig in URLs versteckt, die über Spam-Mails verbreitet werden. Diese E-Mails sind darauf angelegt, den Empfänger durch Panikmache zu unbedachtem Handeln zu verleiten, damit er auf eine URL in der Mail klickt, durch die sein Computer infiziert wird. Werbebanner und Bilder – sowohl in E-Mails als auch auf nicht vertrauenswürdigen Webseiten – können Benutzer ebenfalls zu diesem Code leiten. In der Folge wird Ihr Computer Sie immer wieder auf die gefälschte Webseite führen, die der Originalseite täuschend ähnlich sieht. Und das ist die eigentliche Bedrohung für Ihre Geräte.

Risiken durch DNS-Poisoning und DNS-Spoofing

Die folgenden Risiken entstehen durch DNS-Poisoning und DNS-Spoofing:

  • Datendiebstahl
  • Infektion mit Malware
  • Abgebrochene Sicherheitsupdates
  • Zensur

DNS-Spoofing birgt für Ihre Geräte und Ihre persönlichen Daten mehrere Risiken.

Datendiebstahl ist ein besonders lukratives Geschäft für DNS-Spoofing-Angreifer. Webseiten von Banken und großen Online-Händlern sind bei Fälschern, die es auf Ihre Passwörter, Kreditkartendaten oder persönlichen Informationen abgesehen haben, besonders beliebt. Die Opfer werden auf entsprechende Phishing-Webseiten weitergeleitet, auf denen ihre Daten abgegriffen werden.

Eine Infektion mit Malware ist eine weitere häufige Bedrohung durch DNS-Spoofing. Ziel der ungewollten Weiterleitung könnte eine Webseite mit schädlichen Downloads sein. Drive-by-Downloads sind eine einfache Möglichkeit, die Unterwanderung Ihres Systems zu automatisieren. Ohne geeignete Internetsicherheit sind Sie letztlich immer Risiken wie SpywareKeyloggernoder Würmern ausgesetzt.

Abgebrochene Sicherheitsupdates können ebenfalls durch DNS-Spoofing initiiert werden. Wenn sich unter den gefälschten Webseiten auch Anbieter von Internetsicherheitsanbietern befinden, werden wichtige Updates nicht durchgeführt. Ihr Computer ist dadurch weiteren Bedrohungen wie Viren oder Trojanern ausgesetzt.

Auch Zensur ist ein Risiko, das in einigen Teilen der Welt tatsächlich zum Alltag gehört. So nutzt China beispielsweise Änderungen am DNS, um sicherzustellen, dass innerhalb des Landes nur von der chinesischen Führung zugelassene Webseiten aufgerufen werden. Diese Sperrung auf nationaler Ebene, die als „Great Firewall“ bezeichnet wird, ist ein Beispiel dafür, welch mächtiges Tool sich hinter DNS-Spoofing verbirgt.

Vor allem die Beseitigung von DNS-Cache-Poisoning ist schwierig. Da die Bereinigung eines infizierten Servers nicht das Problem auf einem Desktop- oder Mobilgerät beseitigt, leitet Sie Ihr eigenes Gerät immer wieder auf die gefälschte Webseite. Außerdem werden saubere Desktops erneut unterwandert, sobald sie sich mit einem infizierten Server verbinden.

So verhindern Sie DNS-Cache-Poisoning und -Spoofing

Bei der Verhinderung von DNS-Spoofing sind die Mittel der Nutzer eher begrenzt. Server- und Webseitenbetreiber sind da besser aufgestellt, um sich selbst und ihre Nutzer zu schützen. Um die Sicherheit aller Beteiligten angemessen zu gewährleisten, müssen sich beide Seiten ausreichend vor Spoofing schützen.

Im Folgenden erfahren Sie, wie Website-Betreiber und die Anbieter von DNS-Diensten derartige Angriffe verhindern können:

  1. Tools zur Erkennung von DNS-Spoofing
  2. Sicherheitserweiterungen im Domain Name System
  3. Durchgängige Verschlüsselung

Und hier ein paar Sicherheitstipps für Endpoint-Nutzer:

  1. Klicken Sie niemals auf einen Link, den Sie nicht kennen
  2. Scannen Sie Ihren Computer auf Schadsoftware.
  3. Leeren Sie Ihren DNS-Cache, um Poisoning zu bereinigen
  4. Nutzen Sie ein VPN (Virtual Private Network)

Präventive Maßnahmen für Webseitenbetreiber und Anbieter von DNS-Servern

Als Betreiber einer Webseite oder Anbieter eines DNS-Servers liegt die Verantwortung für den Schutz der Nutzer in Ihrer Hand. Sie können verschiedene Schutzinstrumente und -protokolle implementieren, um Bedrohungen fernzuhalten. Die folgenden Ressourcen sind besonders ratsam:

  1. Tools zur Erkennung von DNS-Spoofing: Ähnlich wie die Sicherheitsprodukte von Endpoint-Nutzern scannen diese Erkennungstools proaktiv alle eingehenden Daten, bevor sie weitergeleitet werden.
  2. Sicherheitserweiterungen im Domain Name System(DNSSEC): Das DNSSEC-System ist im Wesentlichen ein DNS-Nachweis für eine Echtheitsprüfung und trägt dazu bei, dass der DNS-Lookup-Prozess fälschungssicher bleibt.
  3. Durchgängige Verschlüsselung: Mit der Verschlüsselung von DNS-Anfragen und -Antworten lassen sich kriminelle Machenschaften verhindern, da eindeutige Sicherheitszertifikate für seriöse Webseiten nicht duplizierbar sind.

Präventive Maßnahmen für Benutzer

Gerade Endnutzer sind dieser Art von Bedrohung nahezu hilflos ausgesetzt. Die folgenden Tipps können aber helfen, einen DNS-Poisoning-Angriff erfolgreich abzuwehren:

  1. Klicken Sie niemals auf einen Link, den Sie nicht kennen. Ganz egal, ob es sich um Links in E-Mails, Textnachrichten oder in den sozialen Medien handelt. Es gibt sogar Tools, die URLs verkürzen und so die Ziele von Links noch zusätzlich verschleiern, daher ist hier besondere Vorsicht geboten. Die sicherste Methode ist die manuelle Eingabe einer URL in die Adressleiste. Aber auch das sollten Sie erst tun, nachdem Sie sich vergewissert haben, dass es sich um eine offizielle und seriöse Seite handelt.
  2. Scannen Sie den Computer regelmäßig auf Schadsoftware. Auch wenn Sie nicht in der Lage sind, DNS-Cache-Poisoning zu erkennen, hilft Ihnen Ihre Sicherheitssoftware, die daraus resultierenden Infektionen zu erkennen und zu beseitigen. Da gefälschte Webseiten alle Arten von Schadprogrammen enthalten können, sollten Sie immer nach Viren, Spyware und anderen versteckten Problemen suchen (der umgekehrte Fall ist ebenfalls möglich, da Malware gefälschte Webseiten enthalten kann). Nutzen Sie hierfür immer ein lokales und kein gehostetes Programm, da webbasierte Ergebnisse durch das Poisening verfälscht sein können.
  3. Leeren Sie ggf. Ihren DNS-Cache, um Poisoning zu bereinigen. Cache-Poisening verbleibt so lange in Ihrem System, bis Sie die infizierten Daten löschen. Alles, was Sie tun müssen, ist das Windows-Programm „Ausführen“ zu starten und den Befehl ipconfig /flushdns einzugeben. Auch für Mac, iOS und Android gibt es entsprechende Bereinigungsoptionen. Sie finden sie in der Regel in einer Option zum Zurücksetzen der Netzwerkeinstellungen, zum Umschalten in den Flugmodus, zum Neustarten des Geräts oder in einer bestimmten nativen Webbrowser-URL. Informieren Sie sich über die passende Methode für Ihr Gerät.
  4. Nutzen Sie ein VPN (Virtual Private Network). Mit VPN gehen Sie über einen verschlüsselten Tunnel ins Internet und nutzen privater DNS-Server, die ausschließlich durchgängig verschlüsselte Abfragen verarbeiten. Diese Server sind weitaus widerstandsfähiger gegen DNS-Spoofing und Abfragen, die sich nicht abbrechen lassen.

Machen Sie es DNS-Spoofing und Malware-Angriffen nicht zu leicht. Schützen Sie sich noch heute mit den Produkten von Kaspersky Home Security.

Verwandte Artikel und Links:

Verwandte Produkte:

Was ist DNS?

In diesem Artikel erfahren Sie, was das DNS ist, wozu es verwendet wird und wie es funktioniert. Wir gehen außerdem darauf ein, wie es durch Spoofing unterwandert werden kann und wie Sie eine Infektion Ihres Geräts verhindern können.
Kaspersky logo

Weitere interessante Artikel: