DNS-Spoofing (Domain Name Server) ist ein Cyberangriff, bei dem ein Angreifer den Datenverkehr des Opfers auf eine schädliche Site (anstelle einer legitimen IP-Adresse) leitet. Angreifer verwenden eine DNS-Cache-Vergiftung, um den Internetverkehr abzufangen und Anmeldeinformationen oder vertrauliche Informationen zu stehlen. DNS-Cache-Vergiftung und DNS-Spoofing sind identische Konzepte, die häufig synonym verwendet werden. Der Hacker möchte Benutzer dazu verleiten, persönliche Informationen auf einer unsicheren Website einzugeben. Wie kann er das erreichen? Durch Vergiftung des DNS-Cache. Zu diesem Zweck fälscht oder ersetzt der Hacker die DNS-Daten für eine bestimmte Site und leitet das Opfer dann auf den Server des Angreifers anstatt auf den legitimen Server um. Damit erreicht der Hacker sein Ziel, denn ihm eröffnen sich große Chancen: Er kann Führen Sie einen Phishing-Angriff durch , stehlen Sie Daten oder injizieren Sie sogar Malware in das System des Opfers.
Was ist DNS-Spoofing und Cache-Vergiftung?
Bevor wir uns mit DNS-Cache-Vergiftungen befassen, werfen wir zunächst einen Blick auf DNS- und DNS-Caching. DNS ist das weltweite Verzeichnis von IP-Adressen und Domainnamen. Wir können sagen, dass dies eine Art Internet-Telefonverzeichnis ist. DNS übersetzt benutzerfreundliche Adressen wie varonis.com in IP-Adressen wie 92.168.1.169, die von Computern für die Arbeit im Netzwerk verwendet werden. DNS-Caching ist ein System zum Speichern von Adressen auf DNS-Servern auf der ganzen Welt. Um die Verarbeitung Ihrer DNS-Abfragen zu beschleunigen, haben die Entwickler ein verteiltes DNS-System erstellt. Jeder Server verwaltet eine Liste der ihm bekannten DNS-Einträge, die als Cache bezeichnet wird. Wenn der nächstgelegene DNS-Server nicht über die gewünschte IP-Adresse verfügt, werden die vorgelagerten DNS-Server abgefragt, bis die Adresse der Website gefunden ist, die Sie erreichen möchten.Ihr DNS-Server speichert diesen neuen Eintrag dann in Ihrem Cache, um beim nächsten Mal eine schnellere Antwort zu erhalten.
Beispiele und Folgen einer DNS-Cache-Vergiftung
Das DNS-Konzept ist nicht auf die Besonderheiten des modernen Internets zugeschnitten. Natürlich hat sich DNS im Laufe der Zeit weiterentwickelt, aber jetzt reicht es immer noch aus, einen falsch konfigurierten DNS-Server zu haben, damit Millionen von Benutzern die Auswirkungen spüren. Beispiel - Angriff auf WikiLeaksWenn Angreifer eine DNS-Cache-Vergiftung verwendeten, um den Datenverkehr abzufangen und ihn auf ihren eigenen Klon der Site umzuleiten. Der Zweck dieses Angriffs bestand darin, den Datenverkehr von WikiLeaks umzuleiten, und es wurden einige Erfolge erzielt. Eine DNS-Cache-Vergiftung ist für normale Benutzer nicht leicht zu erkennen. DNS basiert derzeit auf Vertrauen, und dies ist seine Schwachstelle. Die Leute vertrauen DNS zu sehr und prüfen nie, ob die Adresse in ihrem Browser mit der gewünschten übereinstimmt. Angreifer nutzen diese Nachlässigkeit und Unaufmerksamkeit, um Anmeldeinformationen und andere wichtige Informationen zu stehlen.
Wie funktioniert eine DNS-Cache-Vergiftung?
Wenn Sie den DNS-Cache vergiften, enthält der Ihnen am nächsten gelegene DNS-Server einen Eintrag, der Sie an die falsche Adresse sendet, die normalerweise von einem Angreifer kontrolliert wird. Es gibt eine Reihe von Techniken, mit denen Angreifer den DNS-Cache vergiften.
Abfangen des LAN-Verkehrs mithilfe von ARP-Spoofing
Sie werden überrascht sein, wie anfällig ein lokales Netzwerk sein kann. Viele Administratoren können sicher sein, dass sie jeden möglichen Zugriff blockiert haben, aber wie Sie wissen, steckt der Teufel im Detail.
Eines der häufigsten Probleme sind Mitarbeiter, die remote arbeiten . Wie können Sie sicher sein, dass das Wi-Fi-Netzwerk gesichert ist? Hacker können innerhalb weniger Stunden ein schwaches WLAN-Passwort knacken .
Ein weiteres Problem sind offene Ethernet-Portszugänglich für alle in den Korridoren, Lobbys und anderen öffentlichen Orten. Stellen Sie sich vor: Ein Besucher kann ein Ethernet-Kabel für die Lobby-Anzeige an sein Gerät anschließen. Wie kann ein Hacker den Zugriff auf Ihr lokales Netzwerk auf eine der oben genannten Arten nutzen? Zunächst kann er eine Phishing-Seite erstellen, auf der Anmeldeinformationen und andere wertvolle Informationen gesammelt werden. Dann kann er diese Site entweder in einem lokalen Netzwerk oder auf einem Remote-Server hosten, und dafür benötigt er nur eine Zeile Python-Code. Der Hacker kann dann mit speziellen Tools wie Betterrcap das Netzwerk ausspionieren. Zu diesem Zeitpunkt untersucht der Hacker das Netzwerk und führt eine Aufklärung durch, aber der Datenverkehr wird weiterhin über den Router geleitet.Ein Angreifer kann dann das Address Resolution Protocol (ARP) manipulieren, um die Struktur des Netzwerks von innen heraus zu ändern. ARP wird von Netzwerkgeräten verwendet, um die MAC-Adresse eines Geräts mit einer IP-Adresse in einem Netzwerk zu verknüpfen. Bettercap sendet Nachrichten und zwingt alle Geräte im Netzwerk, den Computer des Hackers als Router zu betrachten. Mit diesem Trick kann ein Hacker den gesamten Netzwerkverkehr abfangen, der durch den Router geleitet wird. Sobald der Datenverkehr umgeleitet wurde, kann ein Angreifer das Bettercap-Modul starten, um DNS zu fälschen. Dieses Modul sucht nach Anfragen an die Zieldomäne und sendet falsche Antworten an das Opfer. Die falsche Antwort enthält die IP-Adresse des Computers des Angreifers und leitet alle Anforderungen an die Zielwebsite an eine vom Angreifer erstellte Phishing-Seite weiter. Der Hacker sieht jetzt Datenverkehr für andere Geräte im Netzwerk.sammelt eingegebene Anmeldeinformationen und fügt böswillige Downloads ein.
Wenn der Hacker nicht auf das lokale Netzwerk zugreifen kann, greift er auf einen der folgenden Angriffe zurück.
Antworten mit einem Geburtstagsangriff fälschen
DNS authentifiziert keine Antworten auf rekursive Abfragen, daher wird die erste Antwort zwischengespeichert. Angreifer verwenden das sogenannte Geburtstagsparadoxon, um zu versuchen, eine falsche Antwort vorherzusagen und an den Anforderer zu senden. Der Geburtstagsangriff verwendet Mathematik und Wahrscheinlichkeitstheorie, um vorherzusagen . In diesem Fall versucht der Angreifer, die Transaktions-ID Ihrer DNS-Anfrage zu erraten. Bei Erfolg erreicht Sie der gefälschte DNS-Eintrag vor einer legitimen Antwort. Es ist nicht garantiert, dass der Geburtstagsangriff erfolgreich ist, aber am Ende kann ein Angreifer eine falsche Antwort zwischenspeichern. Nach erfolgreichem Angriff kann der Hacker den Datenverkehr vom gefälschten DNS-Eintrag bis zum Ende des Lebenszyklus (TTL) des DNS-Eintrags sehen....
ist eine Variation des Geburtstagsangriffs. Dan Kaminsky, der diese Sicherheitsanfälligkeit entdeckte, stellte sie erstmals 2008 auf der BlackHat-Konferenz vor. Das Wesentliche des Exploits ist, dass der Hacker zuerst eine DNS-Resolver-Anforderung für eine nicht vorhandene Domain sendet, z. B. fake.varonis.com. Nach Erhalt einer solchen Anforderung leitet der DNS-Resolver diese an einen autorisierenden Nameserver weiter, um die IP-Adresse der gefälschten Subdomain abzurufen. Zu diesem Zeitpunkt überwältigt der Angreifer den DNS-Resolver mit einer großen Anzahl gefälschter Antworten in der Hoffnung, dass eine dieser gefälschten Antworten mit der Transaktions-ID der ursprünglichen Anforderung übereinstimmt. Bei Erfolg fälscht der Hacker beispielsweise die IP-Adresse im DNS-Server-Cache, wie in unserem Beispiel mit varonis.com. Der Resolver antwortet weiterhin allen Anforderern, dass die gefälschte IP-Adresse von varonis.com echt ist.bis der DNS-Eintrag abläuft.
DNS?
Wie erkenne ich, ob der DNS-Cache vergiftet ist? Dazu müssen Sie Ihre DNS-Server auf Anzeichen eines möglichen Angriffs überwachen. Niemand hat jedoch die Rechenleistung, um solche Mengen von DNS-Anforderungen zu verarbeiten. Die beste Lösung besteht darin, Datensicherheitsanalysen auf Ihre DNS-Überwachung anzuwenden. Dadurch wird normales DNS-Verhalten von böswilligen Angriffen unterschieden.
• Ein plötzlicher Anstieg der DNS-Aktivität von einer Quelle gegen eine Domain weist auf einen möglichen Geburtstagsangriff hin.
• Eine Zunahme der DNS-Aktivität aus einer einzigen Quelle, die Ihren DNS-Server ohne Rekursion nach mehreren Domainnamen abfragt, weist auf einen Versuch hin, einen Eintrag für eine nachfolgende Vergiftung auszuwählen.
Zusätzlich zu Die DNS-Überwachung muss auch Active Directory-Ereignisse und das Verhalten des Dateisystems überwachen , um abnormale Aktivitäten rechtzeitig zu erkennen. Besser noch, verwenden Sie die Analyse, um die Beziehung zwischen allen drei Vektoren zu ermitteln. Dies liefert wertvolle Kontextinformationen zur Stärkung Ihrer Cybersicherheitsstrategie.
Methoden zum Schutz vor DNS-Cache-Vergiftungen
Zusätzlich zu Überwachung und Analyse können Sie Änderungen an den DNS-Servereinstellungen vornehmen:
- Begrenzen Sie rekursive Abfragen, um mögliche gezielte Cache-Vergiftungen zu vermeiden.
- Speichern Sie nur Daten, die sich auf die angeforderte Domain beziehen.
- Beschränken Sie die Antworten nur auf diejenigen, die sich auf die angeforderte Domain beziehen.
- Clients müssen das HTTPS-Protokoll verwenden.
Stellen Sie sicher, dass Sie die neueste BIND- und DNS-Software verwenden und somit über die neuesten Schwachstellenkorrekturen verfügen. Wenn möglich, z. B. bei Remote-Mitarbeitern, sorgen Sie dafür, dass alle Remote-Computer über ein VPN verbunden sind. Dies schützt Datenverkehr und DNS-Anforderungen vor lokalem Snooping. Ermutigen Sie die Mitarbeiter außerdem, sichere Kennwörter für Wi-Fi-Netzwerke zu erstellen, um auch Risiken zu minimieren.
Verwenden Sie schließlich verschlüsselte DNS-Abfragen. DNSSEC (Domain Name Service Security Modules)Ist ein DNS-Protokoll, das signierte DNS-Abfragen verwendet, um Spoofing zu verhindern. Bei Verwendung von DNSSEC muss der DNS-Resolver die Signatur bei einem autorisierten DNS-Server überprüfen, was den gesamten Prozess verlangsamt. Infolgedessen hat DNSSEC noch keine breite Akzeptanz gefunden.
DNS über HTTPS (DoH) und DNS über TLS (DoT)konkurrieren mit Spezifikationen für die nächste DNS-Version und sind im Gegensatz zu DNSSEC darauf ausgelegt, DNS-Abfragen ohne Geschwindigkeitseinbußen zu sichern. Diese Lösungen sind jedoch nicht ideal, da sie die lokale Überwachung und Analyse von DNS verlangsamen oder vollständig unmöglich machen können. Es ist wichtig zu beachten, dass DoH und DoT die Kindersicherung und andere im Netzwerk festgelegte Blockierungen auf DNS-Ebene umgehen können. Unabhängig davon verfügen Cloudflare, Quad9 und Google über öffentliche DNS-Server mit DoT-Unterstützung. Viele neue Clients unterstützen diese modernen Standards, obwohl der Support standardmäßig deaktiviert ist. Weitere Details hierzu finden Sie in unserem Beitrag zur DNS-Sicherheit .
DNS-Spoofing ersetzt die legitime IP-Adresse der Site durch die IP-Adresse des Computers des Hackers. Es ist sehr schwierig, die Substitution zu erkennen, da der Endbenutzer aus Sicht des Endbenutzers eine absolut normale Website-Adresse in den Browser eingibt. Trotzdem kann ein solcher Angriff gestoppt werden. Risiken können durch die Verwendung der DNS-Überwachung, beispielsweise von Varonis , sowie des Verschlüsselungsstandards DNS über TLS (DoT) gemindert werden .
Cache-Vergiftung: Häufig gestellte Fragen
Lesen Sie häufig gestellte Fragen und Antworten zum DNS-Spoofing.
DNS-Cache-Vergiftung und DNS-Cache-Spoofing (Spoofing) dasselbe?
Ja, die gleiche Art von Cyberangriff wird als Cache-Vergiftung und Cache-Spoofing bezeichnet.
Wie funktioniert eine DNS-Cache-Vergiftung?
Durch eine Cache-Vergiftung wird Ihr DNS-Server dazu verleitet, einen gefälschten DNS-Eintrag darauf zu speichern. Danach wird der Datenverkehr auf den vom Hacker ausgewählten Server umgeleitet, auf dem die Daten gestohlen werden.
Welche Sicherheitsmaßnahmen können zum Schutz vor DNS-Cache-Vergiftungen angewendet werden?
Websitebesitzer können Überwachungen und Analysen durchführen, um DNS-Spoofing zu erkennen. Sie können Ihre DNS-Server auch aktualisieren, um DNSSEC (Domain Name System Security Modules) oder ein anderes Verschlüsselungssystem wie DNS über HTTPS oder DNS über TLS zu verwenden. Die weit verbreitete Verwendung einer vollständigen End-to-End-Verschlüsselung wie HTTPS kann auch DNS-Spoofing verhindern. Cloud Access Security Brokers (CASB) sind für diese Zwecke äußerst nützlich. Endbenutzer können einen potenziell gefälschten DNS-Cache leeren, indem sie den DNS-Cache ihres Browsers regelmäßig leeren oder eine Verbindung zu einem unsicheren oder öffentlichen Netzwerk herstellen. Die Verwendung eines VPN kann vor DNS-Spoofing im lokalen Netzwerk schützen. Vermeiden Sie verdächtige Links. Dies hilft, das Risiko einer Kontamination Ihres Browser-Cache zu vermeiden.
Wie können Sie überprüfen, ob Sie von einem Cache-Vergiftungsangriff getroffen wurden?
Sobald der DNS-Cache vergiftet wurde, ist er schwer zu erkennen. Eine viel bessere Taktik besteht darin, Ihre Daten zu überwachen und Ihr System vor Malware zu schützen, um sich vor Datenlecks aufgrund einer DNS-Cache-Vergiftung zu schützen. Besuchen Sie unser interaktives Cyber-Angriffslabor, um zu erfahren , wie wir mithilfe der DNS-Überwachung reale Cybersicherheitsbedrohungen erkennen.
Wie funktioniert die DNS-Kommunikation?
Wenn ein Endbenutzer eine URL wie Varonis.com in seinen Browser eingibt, geschieht Folgendes:
- Der Browser überprüft zunächst seinen lokalen Cache auf bereits gespeicherte DNS-Daten.
- Wenn diese Daten fehlen, wird der Upstream-DNS-Server abgefragt, bei dem es sich normalerweise um Ihren Router im lokalen Netzwerk handelt.
- DNS, , DNS, Google, Cloudflare Quad9.
- DNS- .
4.1. , DNS-, DNS « .com».
4.2. .com, « Varonis.com», URL.
4.3. « IP- Varonis.com», IP- . - Die DNS-Daten werden dann in der Kette zurückgesendet, bis sie das Gerät des Endbenutzers erreichen. Während der gesamten Route schreibt jeder der DNS-Server die empfangene Antwort zur weiteren Verwendung in seinen eigenen Cache.
Wie vergiften Angreifer den DNS-Cache?
Es gibt viele Möglichkeiten, den Cache zu vergiften, und hier sind die häufigsten: Erzwingen, dass das Opfer auf einen böswilligen Link klickt, der eingebetteten Code verwendet, um den DNS-Cache im Browser des Benutzers zu ändern; Hacken eines lokalen DNS-Servers mit einem "Mittelsmann-Angriff". Der oben erwähnte "Mittelsmann-Angriff" verwendet ARP-Spoofing (Address Resolution Protocol), um DNS-Anforderungen an einen vom Angreifer kontrollierten DNS-Server umzuleiten.
Was ist eine DNS-Cache-Vergiftung?
Bei einer DNS-Cache-Vergiftung wird ein Eintrag in der DNS-Datenbank durch eine IP-Adresse ersetzt, die zu einem von einem Angreifer kontrollierten böswilligen Server führt.
Wie wird DNS-Spoofing durchgeführt?
Ein Hacker führt einen DNS-Spoofing-Angriff durch, indem er Zugriff erhält und den DNS-Cache ändert oder DNS-Abfragen an seinen eigenen DNS-Server umleitet.
Was ist DNS-Spoofing?
DNS-Spoofing bedeutet, dass die URL, die der Benutzer in einen Browser wie varonis.com eingibt, nicht zu der korrekten offiziellen IP-Adresse führt, die dieser URL zugeordnet ist. Stattdessen wird der Benutzer auf einen vom Hacker kontrollierten böswilligen Server umgeleitet.
Warum ist DNS-Spoofing gefährlich?
DNS-Spoofing ist gefährlich, da das Domain Name System (DNS) von Natur aus als zuverlässig angesehen wird und daher häufig nicht durch irgendeine Art von Verschlüsselung geschützt ist. Dies führt dazu, dass Hacker Einträge im DNS-Cache fälschen können, um Daten weiter zu stehlen, Malware einzuschleusen, Phishing zu betreiben und Updates zu blockieren.
Die Hauptbedrohung durch einen DNS-Spoofing-Angriff ist der Datendiebstahl durch Phishing-Seiten. Darüber hinaus besteht das Risiko, dass Malware unter dem Deckmantel herunterladbarer Dateien eingeführt wird, die echt aussehen. Wenn das System über das Internet aktualisiert wird, kann ein Angreifer die Aktualisierung blockieren, indem er die DNS-Einträge so ändert, dass sie nicht zur gewünschten Site führen.