Articles

DNS Spoofing

Was ist Domain Name System (DNS) Spoofing

Domain Name Server (DNS) Spoofing (auch DNS Cache Poisoning) ist ein Angriff, bei dem veränderte DNS-Einträge verwendet werden, um den Online-Verkehr auf eine betrügerische Website umzuleiten, die dem eigentlichen Ziel ähnelt.

Dort werden die Benutzer aufgefordert, sich in ihr (vermeintliches) Konto einzuloggen, was dem Täter die Möglichkeit gibt, ihre Zugangsdaten und andere sensible Informationen zu stehlen. Außerdem werden über die bösartige Website oft Würmer oder Viren auf dem Computer des Anwenders installiert, wodurch der Täter langfristigen Zugriff auf diesen und die dort gespeicherten Daten erhält.

Methoden zur Durchführung eines DNS-Spoofing-Angriffs umfassen:

  • Man in the middle (MITM) – Das Abfangen der Kommunikation zwischen Benutzern und einem DNS-Server, um Benutzer zu einer anderen/schädlichen IP-Adresse zu leiten.
  • DNS-Server-Kompromittierung – Das direkte Hijacking eines DNS-Servers, der so konfiguriert ist, dass er eine schädliche IP-Adresse zurückgibt.
Kompromittierter DNS-Server, der einen DNS-Spoofing-Angriff durchführt

DNS-Server-Kompromittierungs-Angriff.

DNS-Cache-Poisoning-Beispiel

Das folgende Beispiel zeigt einen DNS-Cache-Poisoning-Angriff, bei dem ein Angreifer (IP 192.168.3.300) einen Kommunikationskanal zwischen einem Client (IP 192.168.1.100) und einem Server-Rechner der Website www.estores.com (IP 192.168.2.200) abfängt.

In diesem Szenario wird ein Tool (z. B., arpspoof) verwendet, um dem Client vorzugaukeln, die Server-IP sei 192.168.3.300. Gleichzeitig wird dem Server vorgegaukelt, dass die IP des Clients ebenfalls 192.168.3.300 ist.

Ein solches Szenario würde wie folgt ablaufen:

  1. Der Angreifer gibt mit arpspoof den Befehl: arpspoof 192.168.1.100 192.168.2.200. Dadurch werden die MAC-Adressen in der ARP-Tabelle des Servers geändert, so dass er denkt, dass der Computer des Angreifers zum Client gehört.
  2. Der Angreifer verwendet erneut arpspoof, um den Befehl: arpspoof 192.168.2.200 192.168.1.100, was dem Client mitteilt, dass der Rechner des Täters der Server ist.
  3. Der Angreifer gibt den Linux-Befehl: echo 1> /proc/sys/net/ipv4/ip_forward. Dadurch werden IP-Pakete, die zwischen Client und Server gesendet werden, an den Computer des Täters weitergeleitet.
  4. Die Host-Datei 192.168.3.300 estores.com wird auf dem lokalen Computer des Angreifers erstellt, die die Website www.estores.com auf seine lokale IP abbildet.
  5. Der Täter richtet einen Webserver auf der IP des lokalen Computers ein und erstellt eine gefälschte Website, die www.estores.com ähneln soll.
  6. Schließlich wird ein Tool (z. B., dnsspoof) verwendet, um alle DNS-Anfragen an die lokale Hostdatei des Täters zu leiten. Dadurch wird den Benutzern die gefälschte Website angezeigt, und nur durch die Interaktion mit der Website wird Malware auf ihren Computern installiert.

Sehen Sie, wie Imperva DDoS Protection Sie bei DNS-Spoofing-Angriffen unterstützen kann.

DNS-Spoofing-Abwehr mit Domain-Name-Server-Sicherheit (DNSSEC)

DNS ist ein unverschlüsseltes Protokoll, was es leicht macht, den Datenverkehr mit Spoofing abzufangen. Hinzu kommt, dass DNS-Server die IP-Adressen, an die sie den Datenverkehr weiterleiten, nicht validieren.

DNSSEC ist ein Protokoll, das entwickelt wurde, um Ihr DNS durch zusätzliche Verifizierungsmethoden zu sichern. Das Protokoll erstellt eine eindeutige kryptografische Signatur, die zusammen mit Ihren anderen DNS-Einträgen, z. B. A-Eintrag und CNAME, gespeichert wird. Diese Signatur wird dann von Ihrem DNS-Resolver verwendet, um eine DNS-Antwort zu authentifizieren und sicherzustellen, dass der Eintrag nicht manipuliert wurde.

Während DNSSEC zum Schutz vor DNS-Spoofing beitragen kann, hat es eine Reihe potenzieller Nachteile, darunter:

  • Mangelnde Vertraulichkeit der Daten – DNSSEC authentifiziert, verschlüsselt aber keine DNS-Antworten. Daher können Täter immer noch den Datenverkehr abhören und die Daten für raffiniertere Angriffe verwenden.
  • Komplexe Bereitstellung – DNSSEC wird oft falsch konfiguriert, was dazu führen kann, dass Server die Sicherheitsvorteile verlieren oder sogar den Zugriff auf eine Website ganz verweigern.
  • Zonenaufzählung – DNSSEC verwendet zusätzliche Ressourceneinträge, um die Signaturüberprüfung zu ermöglichen. Ein solcher Datensatz, NSEC, ist in der Lage, die Nicht-Existenz einer DNS-Zone zu überprüfen. Er kann auch dazu verwendet werden, eine DNS-Zone zu durchlaufen, um alle vorhandenen DNS-Einträge zu sammeln – eine Schwachstelle, die als Zone Enumeration bezeichnet wird. Neuere Versionen von NSEC, genannt NSEC3 und NSEC5, veröffentlichen gehashte Datensätze von Hostnamen und verschlüsseln sie dadurch und verhindern die Zonenaufzählung.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.