Code auf einem Screen und einem Sicherheitsschloss

Was ist DNS Cache Poisoning?

DNS Cache Poisoning ist eine Form des DNS Spoofings und bezeichnet Angriffe, die darauf abzielen, manipulierte Einträge in den DNS Cache von Nameservern zu schmuggeln. Hierdurch verfälschen Angreifer die Zuordnung zwischen Domainnamen und der dazugehörigen IP-Adresse, wodurch Internetnutzer beim Aufruf der betroffenen Domain auf eine gefälschte und meist schädliche Webseite geleitet werden.

Auf einen Blick

  1. 1. DNS Cache Poisoning: eine Definition
    1. 2. Was macht DNS Cache Poisoning so gefährlich?
      1. 3. Welche Auswirkungen hat DNS Cache Poisoning auf Unternehmen?
        1. 4. Welche Schutzmaßnahmen eignen sich gegen DNS Cache Poisoning?
          1. 5. Cache Poisoning: Das müssen Sie wissen
            Ablauf einer DNS Cache Poisoning Attacke

            01

            DNS Cache Poisoning: eine Definition

            Beim Cache Poisoning missbrauchen Cyberkriminelle die Funktionsweise des Domain Name Systems (DNS), um Internetnutzer unbemerkt auf gefälschte Webseiten zu locken und dort deren Zugangsdaten und andere sensible Informationen zu stehlen. Das DNS dient im übertragenen Sinne als Telefonbuch des Internets und definiert die Zuordnung von Domainnamen zu den dazugehörigen IP-Adressen der Webserver. Die korrekte Zuordnung ist in den DNS-Einträgen gespeichert, die von Nameservern weltweit zur Verfügung gestellt und lokal auf Routern und Computern im Cache temporär zwischengespeichert werden. Gelingt es Angreifern, einen dieser Nameserver über Sicherheitslücken zu korrumpieren und gefälschte Einträge einzuschleusen, gelangen die manipulierten Einträge auch in den Cache sämtlicher Server, Router und Endgeräte, die die betroffene Domain auf dem Nameserver anfragen. Der DNS Cache ist nun “vergiftet” und leitet Internetnutzer auf die von den Angreifern festgelegte Webseite um. Letztere ist zumeist darauf ausgelegt, um Logindaten zu stehlen oder Schadsoftware zu verbreiten.

            Server

            02

            Was macht DNS Cache Poisoning so gefährlich?

            Abhängig davon, auf welchem Nameserver der Cache manipuliert wurde, besteht die Gefahr, dass die verfälschten Einträge schnell und weiträumig im Internet verteilt werden. Ist etwa ein Nameserver betroffen, der gleich mehrere Internet Service Provider (ISP) mit seinen Informationen versorgt, gelangen die schädlichen DNS-Einträge schnell zu allen Kunden der ISPs. Das Problem ist erst dann behoben, wenn alle betroffenen Caches wieder mit den korrekten Einträgen versorgt sind.

            03

            Welche Auswirkungen hat DNS Cache Poisoning auf Unternehmen?

            Cyberkriminelle können mittels Cache Poisoning gezielt die Kunden einzelner Unternehmen und Dienste ins Visier nehmen. Für die betroffenen Firmen bedeuten solche Attacken schwerwiegende Folgen:

            Schäden im operativen Geschäft

            Kunden werden von der eigenen Plattform ferngehalten und können keine Einkäufe tätigen. Kommt es zu Missbrauch durch gestohlene Zugangsdaten, entstehen zusätzliche Kosten, da beispielsweise die Zahl der Rückerstattungen ansteigt.

            Imageschäden

            Obwohl der Fehler meist gar nicht bei den betroffenen Unternehmen selbst liegt, wirken sich Angriffe mittels Cache Poisoning sehr wohl auf deren Image aus. Für Kunden macht es keinen Unterschied, wer konkret verantwortlich ist. Sie assoziieren die Datenpanne direkt mit mangelhafter Digitalkompetenz beim Anbieter.

            Datenmanipulation und Missbrauch

            Kommt es im Rahmen von Cache-Poisoning-Angriffen zu einer Korrumpierung von Kundendaten, kann das ebenfalls große Schäden nach sich ziehen. Speziell wenn Manipulationen lange Zeit unentdeckt bleiben, drohen hohe Folgeschäden – mitunter für die aufwändige Bereinigung der Daten.

            Loginmaske

            04

            Welche Schutzmaßnahmen eignen sich gegen DNS Cache Poisoning?

            Um die DNS Namensauflösung vor manipulativen Eingriffen mittels Cache Poisoning zu bewahren, eignen sich mehrere Maßnahmen und Lösungen. So können DNS-Abfragen etwa mittels DNS-Cookies geschützt werden, die die Authentizität und Integrität von Clients, Servern und den dazwischen übertragenen Daten sicherstellen. Auch die Implementierung der DNSSEC-Technologie verspricht Schutz vor Cache Poisoning, gestaltet sich in der Praxis jedoch umständlich und bringt weitere Schwachpunkte mit sich. So können Cyberkriminelle beispielsweise DNSSEC zur Verstärkung von DDoS-Angriffen missbrauchen.

            Kryptische Zeichen auf einem Bildschirm

            05

            Cache Poisoning: Das müssen Sie wissen

            Cyberkriminelle nutzen Cache Poisoning, um Traffic unbemerkt auf andere Webserver umzuleiten. Hierzu manipulieren Sie über Sicherheitslücken die DNS-Einträge von Nameservern, die dann in den Cache von anfragenden Servern und Endgeräten geladen werden. Internetnutzer landen dann bei der Eingabe einer Domain im Webbrowser auf der von den Angreifern erstellten Webseite. Bei dieser handelt es sich zumeist eine Phishing-Webseite, die darauf ausgelegt sind, Logindaten und andere sensible Informationen abzugreifen. Auch zur Verbreitung von Schadsoftware lassen sich solche gefälschten Portale einsetzen.

            Zur Abwehr von Cache-Poisoning-Angriffen lassen sich Nameserver mit DNS-Erweiterungen wie DNS-Cookies oder DNSSEC ausrüsten, die zur Authentifizierung und Integritätsprüfung von Clients, Servern und Daten verwendet werden. Diese Technologien erschweren Cache Poisoning für die Angreifer erheblich.

            Die Myra-DNS-Infrastruktur unterstützt den Einsatz von DNS-Cookies und DNSSEC zum Schutz vor Cache Poisoning.

            Häufige Fragen zu Cache Poisoning

            © Myra Security GmbH 2023, alle Rechte vorbehalten

            Responsible DisclosureGlossarImpressumDatenschutzAGB