Certified Security Operations Center GmbH

29. Juni 2022

Was ist ein DNS-Poisoning-Angriff und wie können Sie sich davor schützen?

Ein DNS-Poisoning-Angriff ist eine sehr häufig eingesetzte Form eines Hackerangriffs. Doch was verbirgt sich genau dahinter und wie kann ich mich als Unternehmen davor schützen? – Auf diese Fragen möchten wir heute näher eingehen:

DNS Poisoning, oder auch Domain Spoofing genannt, ist eine Hackertechnik, die bekannte Schwachstellen im Domain Name System (DNS) ausnutzt. Der Vorgang ist einfach: Im Grunde tauscht ein Hacker die Adresse einer gültigen Website gegen eine gefälschte aus. Wenn dies gelungen ist, ist er in der Lage den Datenverkehr von einer Website auf eine gefälschte Version umzuleiten Das Stehlen von wertvollen Informationen wie Kennwörter, Kontonummern oder die Beeinträchtigung der Verfügbarkeit der Website können die Folge sein.

Den Nutzern einer Website fällt dies meistens gar nicht auf, da die besuchte Website durch das Domain-Spoofing äußerlich keine Auffälligkeiten aufweist und auch wie gewohnt funktioniert. Anders verhält es sich, wenn der Hacker Einfluss auf die Verfügbarkeit der Website nimmt. Hier stellt der Nutzer vielleicht fest, dass die gewünschte Website nicht geladen werden kann. Auch hier kommen in der Regel keine Gedanken an einen Hackerangriff auf. Der Nutzer versucht vielleicht ein oder zwei Mal die Seite neu zu laden. Hat dies keinen Erfolg, ärgert er sich möglicherweise über das Unternehmen und besucht eine andere Website. Auch wenn in solch einem Fall kein Datendiebstahl stattgefunden hat, hat es dennoch einen negativen Einfluss auf das Unternehmensimage.

Doch nicht nur Hacker nutzen das DNS-Poisoning für Ihre Angriffe. Auch staatliche Akteure sind hier aktiv. Beispielsweise setzt die chinesische Regierung das DNS-Poisoning ein, um den Zugang zu Websites mit Inhalten zu sperren, die die Behörden für bedenklich halten. Auch hier bekommen die Benutzer nichts mit. Wenn sie die gewünschte Adresse eingeben, zum Beispiel Websites der sozialen Netzwerke, werden sie durch Spoofing zu einem völlig anderen Server weitergeleitet. Dieser Server lädt dann automatisch eine andere Website.

Unsere Handlungsempfehlungen:

– Verwenden Sie die Ende-zu-Ende-Verschlüsselung, wie z. B. Secure Sockets Layers (SSL)-Zertifikate.

– Für eine sichere sowie verschlüsselte Datenübertragung kann zudem ein VPN-Client auf jedem Rechner installiert und eingerichtet werden.

– Es existieren Tools zur Erkennung von Spoofing, die empfangene Datenpakete scannen, bevor diese versendet werden.

– Die Erhöhung der TTL-Werte (Time-To-Live) für den DNS-Cache verhindert, dass die Endnutzer/innen mit schadhaften Einträgen konfrontiert werden, da diese geleert werden, bevor sie den Endnutzer erreichen können.

-Eine solide DNS-, DHCP- und IPAM-Strategie (DDI) bestehend aus einer DNS-Strategie, einem Dynamic Host Konfiguration Protocol und einer IP-Adressenverwaltung ist unabdingbar.

Quellen:

https://www.okta.com/identity-101/dns-poisoning/

https://kinsta.com/de/blog/dns-poisoning/

error: