DNS-Spoofing: So läuft es ab und so schützen Sie sich dagegen

Die Na­mens­auf­lö­sung im Internet bietet ver­schie­de­ne Mög­lich­kei­ten der Ma­ni­pu­la­ti­on. Eine An­griffs­form ist das DNS-Spoofing, bei dem IP-Adressen gefälscht werden. Lesen Sie hier, wie dies genau von­stat­ten­geht, was es bezwecken soll, welche Varianten es gibt und wie Sie sich davor schützen können.

Das Domain Name System, kurz DNS, ist ein global ver­teil­tes System zur Über­set­zung von In­ter­net­do­mains in IP-Adressen. Das DNS liefert für einen Domain-Namen eine IP-Adresse zurück. Dieser Prozess ist unter dem Begriff Na­mens­auf­lö­sung bekannt.

Damit die Na­mens­auf­lö­sung funk­tio­niert, muss auf jedem Endgerät die IP-Adresse eines DNS-Servers ein­ge­tra­gen sein. Das Endgerät richtet seine DNS-Anfragen an diesen Server, der die Na­mens­auf­lö­sung ausführt und eine Antwort zu­rück­gibt. Ist auf einem Endgerät kein DNS-Server ein­ge­stellt, wird au­to­ma­tisch derjenige des lokalen Routers verwendet.

Der Ober­be­griff Spoofing bedeutet „Täuschen“ oder „Fälschen“. DNS-Spoofing be­zeich­net ver­schie­de­ne Szenarien, bei denen es zu einer Ma­ni­pu­la­ti­on der DNS-Na­mens­auf­lö­sung kommt. Im Spe­zi­el­len wird die zu einer Domain gehörende IP-Adresse gefälscht. Das Endgerät baut also eine Ver­bin­dung zur ge­fälsch­ten IP-Adresse auf und der Da­ten­ver­kehr wird an einen falschen Server um­ge­lei­tet. Hier ein Beispiel:

Da die Na­mens­auf­lö­sung weit­ge­hend im Hin­ter­grund abläuft, bemerkt das Opfer die Ma­ni­pu­la­ti­on in der Regel nicht. Eine besonders perfide Eigenheit des DNS-Spoofings ist, dass im Browser die korrekte Domain angezeigt wird.

• d1. Der Client (also z. B. der Browser auf dem Endgerät) ruft zunächst vom DNS-Server die zum Hostnamen example.com gehörende IP-Adresse ab.
• d2. Der Client bekommt eine Antwort auf die Abfrage, die al­ler­dings eine ge­fälsch­te IP-Adresse enthält. Die Ver­bin­dung zum legitimen Server von example.com kommt somit nicht zustande.
• h1. Statt­des­sen stellt der Client die Anfrage an den hinter der ge­fälsch­ten IP-Adresse be­find­li­chen bös­ar­ti­gen Host.
• h2. Der bösartige Host liefert eine au­gen­schein­lich legitime Seite an den Klienten aus. Der ge­fälsch­ten Domain fehlt al­ler­dings das Si­cher­heits­zer­ti­fi­kat, wodurch der Angriff sichtbar wird.
• (A, B, C): Ver­schie­de­ne An­satz­punk­te für DNS-Spoofing: auf dem Client oder lokalen Router, auf der Netz­werk­ver­bin­dung, auf dem DNS-Server.

Das DNS-Spoofing wird primär von An­grei­fern ein­ge­setzt, um Attacken durch­zu­füh­ren. Diese Attacken zielen für ge­wöhn­lich darauf ab, sensitive Nut­zer­da­ten zu erbeuten. Zum Teil greifen jedoch auch legitime Un­ter­neh­men auf DNS-Spoofing zurück. Bekannt ist, dass manche In­ter­net­an­bie­ter (ISPs) DNS-Spoofing zum Durch­set­zen von Zen­sur­vor­ga­ben und zu Wer­be­zwe­cken ein­ge­setzt haben.

Angreifer nutzen DNS-Spoofing, um Phishing- und Pharming-Attacken durch­zu­füh­ren. Es geht in erster Linie darum, sensible Nut­zer­da­ten ab­zu­grei­fen. Beim DNS-Spoofing wird dem Opfer vor­ge­gau­kelt, auf einer legitimen Domain gelandet zu sein. Das Vertrauen des Opfers in die gespoofte Domain wird oft genutzt, um ihm Schad­soft­ware un­ter­zu­schie­ben. Un­wis­sent­lich in­stal­liert man diese Malware und infiziert damit das eigene System.

Die meisten Menschen nutzen – ohne sich dessen bewusst zu sein – einen DNS-Server ihres In­ter­net­an­bie­ters. Dieser ist im Nor­mal­fall im lokalen Router vor­ein­ge­stellt. So un­ter­liegt jede DNS-Abfrage der Kontrolle durch den In­ter­net­an­bie­ter.

In­ter­net­an­bie­ter können z. B. gezielt ihre DNS-Tabellen ma­ni­pu­lie­ren, um staat­li­che Zen­sur­vor­ga­ben um­zu­set­zen. In vielen Ländern wird den Nutzern so der Zugriff auf File­sha­ring- oder Porno-Domains vereitelt. Versucht der Nutzer, auf eine dieser blo­ckier­ten Domains zu­zu­grei­fen, wird er statt­des­sen auf eine Warnseite um­ge­lei­tet. Jedoch lassen sich diese Blockaden durch Nutzung eines nicht­zen­sie­ren­den DNS-Servers mit minimalem Aufwand umgehen.

Derselbe Trick – den Nutzer beim Zugriff auf bestimmte Domains auf eine andere Seite um­zu­lei­ten – wird auch ein­ge­setzt, um Nut­zer­da­ten für Wer­be­zwe­cke zu sammeln. So setzen In­ter­net­an­bie­ter DNS-Hijacking ein, um den Nutzer bei Eingabe nicht­exis­ten­ter oder falsch ge­schrie­be­ner Domains auf eine spezielle Seite um­zu­lei­ten. Diese Seite spielt z. B. Werbung aus oder erstellt Nut­zer­pro­fi­le, die dann ge­winn­brin­gend verkauft werden.

Beim DNS handelt es sich um eine grund­le­gen­de Tech­no­lo­gie: So gut wie jeder Ver­bin­dungs­auf­bau greift zur Na­mens­auf­lö­sung darauf zurück. Das DNS-Spoofing kann somit jede einzelne Ver­bin­dung auf dem Client betreffen. Ganz gleich ob das Opfer auf eine Website zugreift oder eine E-Mail versendet – ist die IP-Adresse des be­tref­fen­den Servers gespooft, kann ein Angreifer Daten abgreifen.

Ins­be­son­de­re birgt das DNS-Spoofing die folgenden Risiken:

• Diebstahl ver­trau­li­cher Daten: Mittels Spear-Phishing und Pharming-Attacken werden sensible Daten wie Pass­wör­ter gestohlen. Diese werden oft für Einbrüche in Com­pu­ter­sys­te­me oder ver­schie­de­ne Be­trugs­ma­schen verwendet.
   
• In­fi­zie­ren des Systems mit Malware: Das Opfer wird dazu bewegt, Schad­soft­ware auf dem eigenen System zu in­stal­lie­ren. Dies eröffnet dem Angreifer Tür und Tor für weitere Angriffe und um­fas­sen­de Spionage.
   
• Abgreifen eines um­fas­sen­den Nut­zer­pro­fils: Die dabei ge­sam­mel­ten per­sön­li­chen Daten werden dann verkauft oder für weitere ziel­ge­rich­te­te Spear-Phishing-Attacken verwendet.
   
• Gefahr einer per­sis­ten­ten Bedrohung: Ist auf dem System ein bös­ar­ti­ger DNS-Server ein­ge­stellt, so ist die Kom­mu­ni­ka­ti­on ab diesem Zeitpunkt kom­pro­mit­tiert. Auch temporär ge­fälsch­te DNS-Antworten ver­blei­ben ggf. im Cache und können so über längere Zeit Schaden anrichten.

Ein konkretes Beispiel: Im Rahmen der COVID19-Pandemie kam es im Frühjahr 2020 zu einer DNS-Spoofing-An­griffs­wel­le. Dabei handelte sich um einen Router-Hijacking-Angriff, bei dem eine bösartige IP-Adresse für den DNS-Server auf dem Router ein­ge­tra­gen wird. Möglich wurde dies durch einen un­si­che­ren Admin-Zugang auf dem Router. Dem Opfer wurde plötzlich eine angeblich von der Welt­ge­sund­heits­or­ga­ni­sa­ti­on stammende Warnung ein­ge­blen­det: Es solle schnell eine In­for­ma­ti­ons-App zu COVID19 in­stal­liert werden. In Wirk­lich­keit war die Software eine Trojaner-Malware. In­stal­lier­te ein gut­gläu­bi­ges Opfer den Trojaner, durch­such­te dieser das lokale System und versuchte, sensible Daten ab­zu­grei­fen. Ziel war dabei das Erstellen eines um­fang­rei­chen Profils, das in weiteren Spear-Phishing-Attacken gegen das Opfer ein­ge­setzt werden konnte. Zu den ab­ge­grif­fe­nen Daten zählten die folgenden:

• Cookies (Browser)
• Brow­ser­ver­lauf
• Zah­lungs­da­ten (Browser)
• Ge­spei­cher­te Login-Daten (Browser)
• Ge­spei­cher­te Formular-Daten (Browser)
• Wallets von Krypto-Währungen
• Sämtliche Text­da­tei­en auf dem Gerät
• Da­ten­ban­ken zur Zwei-Faktor-Au­then­ti­fi­zie­rung (2FA)

Die folgenden drei An­griffs­va­ri­an­ten beziehen sich auf die eingangs dar­ge­stell­te sche­ma­ti­sche Abbildung (A–C).

Bei dieser DNS-Spoofing-An­griffs­va­ri­an­te wird eine bösartige Ma­ni­pu­la­ti­on auf dem lokalen Gerät oder Heim­rou­ter vor­ge­nom­men. Für das Opfer erscheint zunächst alles in Ordnung: Das Gerät verbindet sich ganz normal mit dem DNS-Server. Jedoch werden zu den ab­ge­frag­ten Hostnamen ggf. bösartige IP-Adressen zu­rück­ge­lie­fert.

Bei diesen Angriffen bleibt die Bedrohung bestehen, bis die Ma­ni­pu­la­ti­on entfernt wird. Al­ler­dings benötigt der Angreifer einen An­griffs­vek­tor, um die Ma­ni­pu­la­ti­on vor­zu­neh­men. Dabei kann es sich um einen tech­ni­schen Faktor handeln, etwa um einen offenen Admin-Zugang, ein schwaches Passwort o. Ä. Ein Angreifer kann das Opfer aber auch per Social En­gi­nee­ring davon über­zeu­gen, die Änderung im guten Glauben selbst vor­zu­neh­men.

Bei dieser als „Local Hijack“ bekannten Form des DNS-Spoofing-Angriffs wird in den Netz­werk­ein­stel­lun­gen des lokalen Geräts die IP-Adresse des DNS-Servers auf einen bös­ar­ti­gen Wert gesetzt.

Die Änderung kann vom Opfer nach­voll­zo­gen werden und lässt sich leicht rück­gän­gig machen. Al­ler­dings wird die Ma­ni­pu­la­ti­on oft in Kom­bi­na­ti­on mit Malware ein­ge­setzt. Diese stellt ggf. den bös­ar­ti­gen Eintrag bei Änderung durch das Opfer wieder her.

Die meisten Be­triebs­sys­te­me nutzen eine so­ge­nann­te hosts-Datei, um eine Na­mens­auf­lö­sung be­stimm­ter Domains auf dem lokalen System zu er­mög­li­chen. Wird in dieser Datei ein bös­ar­ti­ger Eintrag platziert, wird der Da­ten­ver­kehr an einen unter Kontrolle des An­grei­fers stehenden Server um­ge­lei­tet.

Die Ma­ni­pu­la­ti­on bleibt permanent bestehen. Jedoch kann sie von einem ver­sier­ten Opfer leicht nach­voll­zo­gen werden. Eine simple Änderung der hosts-Datei genügt, um das Problem zu beheben.

Stan­dard­mä­ßig ist auf dem lokalen Router die IP-Adresse eines DNS-Servers des In­ter­net­an­bie­ters ein­ge­stellt. Beim „Router-Hijack“ wird diese durch einen bös­ar­ti­gen Wert ersetzt. Der Angriff bedroht die Ge­samt­heit des durch den Router laufenden Da­ten­ver­kehrs. Da üb­li­cher­wei­se in einem Haushalt oder Büro mehrere Geräte den Router zum Ver­bin­dungs­auf­bau nutzen, können mehrere Parteien dem Angriff zum Opfer fallen.

Vielen Nutzern ist nicht bewusst, dass sie Ihren Router selbst kon­fi­gu­rie­ren können. So bleibt dieser Angriff oft lange im Ver­bor­ge­nen. Bei eventuell später auf­tre­ten­den Problemen haben die Opfer oft eher das eigene Gerät im Verdacht als den Router. Es lohnt sich daher, bei seltsamen Störungen auch den Router als Feh­ler­quel­le in Betracht zu ziehen.

Bei dieser An­griffs­va­ri­an­te des DNS-Spoofing handelt es sich um eine „Man in the Middle“-Attacke. Der Angreifer gibt sich als DNS-Server des Opfers aus und überträgt diesem eine bösartige Antwort. Der Angriff funk­tio­niert, da der DNS-Verkehr über das un­ver­schlüs­sel­te User Datagram Protocol (UDP) läuft. Es gibt für das Opfer keinerlei Mög­lich­keit, die Echtheit einer DNS-Antwort zu ga­ran­tie­ren.

Andere An­griffs­for­men wie ARP-Spoofing und MAC-Spoofing können als Ein­falls­to­re in das lokale Netzwerk genutzt werden. Der Einsatz von Ver­schlüs­se­lungs­tech­no­lo­gien schützt vor vielen Man-in-the-Middle-Attacken.

Diese An­griffs­va­ri­an­te des DNS-Spoofings richtet sich gegen einen legitimen DNS-Server und kann dadurch sehr viele Nutzer betreffen. Es handelt sich um einen an­spruchs­vol­len Angriff, da ge­wöhn­lich mehrere Schutz­me­cha­nis­men über­wun­den werden müssen, um den Server zu knacken.

Die Server des DNS sind in Hier­ar­chien an­ge­ord­net und kom­mu­ni­zie­ren mit­ein­an­der. Ein Angreifer kann IP-Spoofing nutzen, um sich als einer dieser Server aus­zu­ge­ben. Der Angreifer überzeugt einen Server, eine falsche IP-Adresse für eine Domain zu ak­zep­tie­ren. Der Server legt den bös­ar­ti­gen Eintrag in seinem Cache ab; der Cache wird „vergiftet“.

Bei jeder nach der Ver­gif­tung des Cache statt­fin­den­den Anfrage an den Server wird der bösartige Eintrag an die Opfer aus­ge­lie­fert. Die Bedrohung bleibt bestehen, bis der Eintrag aus dem Cache entfernt wird. Als ser­ver­sei­ti­ger Schutz­me­cha­nis­mus existiert die DNSSEC-Er­wei­te­rung. Mit dieser lässt sich die Kom­mu­ni­ka­ti­on der Server innerhalb des DNS absichern.

Diese auch als „Rogue Hijack“ bekannte An­griffs­form stellt den wohl auf­wen­digs­ten Angriff auf das DNS dar. Hierbei bringt ein Angreifer einen legitimen DNS-Server unter seine Kontrolle. Einmal kom­pro­mit­tiert, bietet selbst modernste DNS-Ver­schlüs­se­lung keinen Schutz. Durch die Inhalte-Ver­schlüs­se­lung dürfte das Opfer jedoch zumindest auf den Angriff auf­merk­sam werden.

Wie Sie sehen, stellt das DNS-Spoofing eine ernst­zu­neh­men­de Gefahr dar. Glück­li­cher­wei­se existiert eine Reihe einfacher Maßnahmen, die ef­fek­ti­ven Schutz vor DNS-Spoofing bieten.

Generell bieten Ver­schlüs­se­lungs­ver­fah­ren zwei zentrale Vorteile:

1. Daten werden vor dem Zugriff durch unbefugte Dritte geschützt.
2. Die Au­then­ti­zi­tät des Kom­mu­ni­ka­ti­ons­part­ners wird ga­ran­tiert.

Ins­be­son­de­re der zweite Punkt ist eine kritische Kom­po­nen­te im Kampf gegen DNS-Spoofing: Gibt sich ein Angreifer als legitimer Host aus, führt dies auf Nut­zer­sei­te zu einem Zer­ti­fi­kats­feh­ler. Der Be­trugs­ver­such fliegt damit auf.

Für ein grund­le­gen­des Maß an Schutz sollten möglichst viele Ver­bin­dun­gen über die gängige Methode der Trans­port­ver­schlüs­se­lung ab­ge­si­chert werden. Webseiten sollten Sie im Browser bevorzugt über HTTPS an­spre­chen. Das beliebte Browser-Add-on HTTPS Ever­y­whe­re sichert die Ver­bin­dung zu Websites, die Inhalte sowohl über HTTP als auch HTTPS aus­lie­fern. Ferner sollten Sie si­cher­stel­len, dass die in Ihrem Mail­pro­gramm kon­fi­gu­rier­ten Ver­bin­dun­gen (IMAP, POP3 und SMTP) sichere Pro­to­kol­le wie TLS und SSL nutzen.

Sind Ihre Ver­bin­dun­gen durch eine Trans­port­ver­schlüs­se­lung geschützt, sollte sich ein DNS-Spoofing-Angriff zumindest bemerkbar machen: Da dem bös­ar­ti­gen Host das Si­cher­heits­zer­ti­fi­kat des echten Hosts fehlt, schlagen Browser und Mail­pro­gramm beim Ver­bin­dungs­auf­bau Alarm. So eröffnet sich Ihnen die Chance, die Ver­bin­dung ab­zu­bre­chen und weitere Schutz­maß­nah­men zu ergreifen.

Während die Trans­port­ver­schlüs­se­lung die Über­tra­gung Ihrer Daten schützt, bleibt die Ver­bin­dung zum DNS-Server an­greif­bar. Sie stellt damit das schwächs­te Glied in der Kette dar. Jedoch gibt es auf Nut­zer­sei­te de­di­zier­te Ansätze zur Ver­schlüs­se­lung der DNS-Abfragen. Zu nennen sind hier vor allem DNSCrypt sowie DNS over HTTPS (DoH) und DNS over TLS (DoT). Diese Tech­no­lo­gien schützen allesamt vor den ge­fähr­li­chen Man-in-the-Middle-Attacken. Al­ler­dings ist keiner der drei Ansätze bereits mas­sen­taug­lich in die ver­brei­te­ten Be­triebs­sys­te­me in­te­griert. Ferner muss auch der DNS-Server die jeweilige Si­cher­heits­tech­no­lo­gie un­ter­stüt­zen, damit die DNS-Ver­schlüs­se­lung greift.

Neben der Trans­port­ver­schlüs­se­lung und der Ab­si­che­rung der Ver­bin­dung zum DNS-Server kann auch der Einsatz eines Virtual Private Networks (VPN) zum Schutz vor DNS-Spoofing beitragen. Bei Einsatz eines VPN werden sämtliche Ver­bin­dun­gen durch einen ver­schlüs­sel­ten Tunnel geleitet. Seien Sie sich jedoch bewusst, dass innerhalb der meisten VPN-Programme nach wie vor die IP-Adresse eines DNS-Servers hin­ter­legt werden kann. Handelt es sich dabei um eine bösartige Adresse, fällt der DNS-Spoofing-Schutz des VPNs weg.

Falls Sie nicht viel Zeit mit der Auswahl eines VPN-Anbieters ver­brin­gen möchten, können Sie die kos­ten­lo­se WARP-App von Cloud­fla­re einsetzen. Diese bietet Ihnen VPN-Funk­tio­na­li­tät und DNS-Ver­schlüs­se­lung über Cloud­fla­res öf­fent­li­ches DNS-Resolver-Netzwerk 1.1.1.1 – unten finden Sie weitere In­for­ma­tio­nen.

Gepaart wird der Zugewinn an Si­cher­heit mit einer kin­der­leicht zu be­die­nen­den Be­nut­zer­ober­flä­che. Die App ist bisher für Mo­bil­ge­rä­te verfügbar, wird aber in Zukunft auch auf dem Desktop unter Windows und macOS laufen.

Eine der ef­fek­tivs­ten Maßnahmen zum Schutz vor DNS-Spoofing ist die Nutzung eines öf­fent­li­chen DNS-Resolvers. Gleich­zei­tig ist die Ein­rich­tung so einfach, dass so gut wie jeder Benutzer das eigene Gerät da­hin­ge­hend kon­fi­gu­rie­ren kann. Sie müssen dafür lediglich den auf Ihrem System ein­ge­tra­ge­nen DNS-Server ändern. Als Beispiel sei hier das von der Non-Profit-Or­ga­ni­sa­ti­on Quad9 be­reit­ge­stell­te gleich­na­mi­ge Resolver-Netzwerk genannt.

Die Nutzung eines öf­fent­li­chen DNS-Resolvers bietet die folgenden Vorteile:

• Hohe Ge­schwin­dig­keit der DNS-Antworten: Die großen DNS-Resolver-Netzwerke betreiben Dutzende von Servern auf der ganzen Welt. Durch so­ge­nann­tes Anycast-Routing kommt zur Na­mens­auf­lö­sung immer der geo­gra­fisch am nächsten liegende Server zum Einsatz, was sich in kurzen Ant­wort­zei­ten nie­der­schlägt.
   
• Hohes Maß an Da­ten­schutz und An­ony­mi­tät: Viele In­ter­net­an­bie­ter verkaufen die beim DNS-Verkehr an­fal­len­den Daten Ihrer Kunden. Die beliebten öf­fent­li­chen Resolver speichern für ge­wöhn­lich nur minimale oder überhaupt gar keine Nutzdaten und bieten damit ein hohes Maß an Da­ten­schutz und An­ony­mi­tät.
   
• Keine Durch­set­zung von Zen­sur­maß­nah­men: Staat­li­che Zen­sur­vor­ga­ben sind nur innerhalb der na­tio­na­len Grenzen gültig. In­ter­net­an­bie­ter operieren für ge­wöhn­lich im Land der eigenen Kunden und sind somit ver­pflich­tet, die Zensur für den Staat durch­zu­set­zen. Im Gegensatz dazu kann ein im Ausland be­hei­ma­te­tes Resolver-Netzwerk seine Dienste global anbieten, ohne Rücksicht auf staatlich ver­ord­ne­te Zensur nehmen zu müssen.
   
• Un­ter­stüt­zung moderner Si­cher­heits­stan­dards: Die großen öf­fent­li­chen DNS-Resolver-Netzwerke sind einzig und allein darauf spe­zia­li­siert, DNS-Anfragen zu be­ant­wor­ten. Sie sind daher oft Vorreiter, was den Einsatz moderner Si­cher­heits­stan­dards wie DNSSEC, DoH, DoT und DNSCrypt betrifft.
   
• Blo­ckie­ren bös­ar­ti­ger Domains: Die Nutzung eines öf­fent­li­chen DNS-Resolver-Netzwerks kann auch zum Schutz vor Malware und Phishing beitragen. Bekannte bösartige Domains werden in Black­lists vor­ge­hal­ten. Beim ver­such­ten Zugriff auf diese Domains wird der Nutzer auf eine Warnseite um­ge­lei­tet.

Die folgende Tabelle bietet eine Übersicht beliebter öf­fent­li­cher DNS-Resolver-Netzwerke. Der Kon­ven­ti­on folgend wird jedes Resolver-Netzwerk redundant über zwei IP-Adressen kon­fi­gu­riert. Sollte also der erste der beiden Server nicht er­reich­bar sein, wird der zweite genutzt. Manche Resolver-Netzwerke bieten weitere IP-Adressen, über die Zu­satz­funk­tio­nen, z. B. für den Ju­gend­schutz, zu­ge­schal­tet werden können.