DNS-basierte Angriffe
Während ARP-Cache-Poisoning Schwachstellen der Adressauflösung im Ethernet ins Visier nimmt, setzt Cache-Poisoning auf DNS-Basis am Domain-Name-System des Internets an, das für die Auflösung von URLs in öffentliche IP-Adressen zuständig ist. Bei einem solchen Angriffsmuster manipulieren Hacker Einträge im Cache eines DNS-Servers, um diesen dazu zu bringen, Anfragen mit falschen Zieladressen zu beantworten. Gelingt eine solche Man-in-the-Middle-Attack, kann der Hacker andere Internetnutzer unbemerkt auf eine beliebige Website im Netz umleiten. Dafür nutzt er meist bekannte Sicherheitslücken älterer DNS-Server.
Grundsätzlich werden DNS-Informationen nicht auf einem einzelnen DNS-Server hinterlegt, sondern auf mehrere Rechner im Netz verteilt. Möchte ein User eine Website aufrufen, nutzt dieser dazu in der Regel einen Domain-Namen. Um den entsprechenden Server adressieren zu können, wird jedoch eine IP-Adresse benötigt. Diese IP ermittelt der Router des Nutzers, indem er eine DNS-Anfrage an den in der Konfiguration angegebenen Standard-DNS-Server versendet. In der Regel handelt es sich dabei um den DNS-Server des Internet-Service-Providers (ISP). Finden sich hier Einträge – sogenannte Resource Records – zur angefragten URL, beantwortet der DNS-Server die Anfrage mit der passenden IP-Adresse. Andernfalls ermittelt der DNS-Server die gesuchte IP mithilfe anderer Server mit DNS-Aufgaben. Dazu sendet dieser eine entsprechende Suchanfrage an andere DNS-Server und speichert deren Antworten temporär im Cache.
Ein Ansatzpunkt für Hacking-Angriffe bietet sich in erster Linie bei Servern, die eine ältere Version der DNS-Software nutzen. Diese akzeptieren und speichern in der Regel nicht nur Informationen, die explizit angefordert wurden, sondern auch solche, die zusätzlich mitgeliefert werden. Gelingt es Hackern somit, einen einzelnen DNS-Server zu kapern, ist es ein Leichtes, mit jeder korrekten IP-Adresse zusätzlich gefälschte Records auszuliefern und somit den Cache anfragender DNS-Server zu vergiften.
Wie effektiv Man-in-the-Middle-Angriffe sind, zeigen Vorfälle in der Vergangenheit, bei denen ganze Namensräume umgeleitet wurden. Für Nutzer ist es so gut wie unmöglich, sich gegen einen solchen Angriff zu schützen, da dieser direkt in der Infrastruktur des Internets erfolgt. Daher ist es in erster Linie die Aufgabe der Betreiber, dafür zu sorgen, dass die von ihnen zur Verfügung gestellten DNS-Server aktuelle Software verwenden und ausreichend gesichert sind. So wurden beispielsweise unter dem Namen DNSSEC (Domain Name System Security Extensions) diverse Internetstandards entwickelt, die das DNS-System um verschiedene Sicherheitsmechanismen zur Gewährleistung der Datenauthentizität und -integrität erweitern. Die Verbreitung dieser Standards geht jedoch nur schleppend voran.