Seite wählen

Was ist DNS Cache Poisoning?

DNS Cache Poisoning ist eine Form des DNS Spoofings und bezeichnet Angriffe, die darauf abzielen, manipulierte Einträge in den DNS Cache von Nameservern zu schmuggeln. Hierdurch verfälschen Angreifer die Zuordnung zwischen Domainnamen und der dazugehörigen IP-Adresse, wodurch Internetnutzer beim Aufruf der betroffenen Domain auf eine gefälschte und meist schädliche Webseite geleitet werden.

Lesezeit: .

Auf einen
Blick

  1. DNS Cache Poisoning: eine Definition
  2. Was macht DNS Cache Poisoning so gefährlich?
  3. Welche Auswirkungen hat DNS Cache Poisoning auf Unternehmen?
  4. Welche Schutzmaßnahmen eignen sich gegen DNS Cache Poisoning?
  5. Cache Poisoning: Das müssen Sie wissen
  6. Häufige Fragen zu Cache Poisoning
01

DNS Cache Poisoning: eine Definition

Beim Cache Poisoning missbrauchen Cyberkriminelle die Funktionsweise des Domain Name Systems (DNS), um Internetnutzer unbemerkt auf gefälschte Webseiten zu locken und dort deren Zugangsdaten und andere sensible Informationen zu stehlen. Das DNS dient im übertragenen Sinne als Telefonbuch des Internets und definiert die Zuordnung von Domainnamen zu den dazugehörigen IP-Adressen der Webserver. Die korrekte Zuordnung ist in den DNS-Einträgen gespeichert, die von Nameservern weltweit zur Verfügung gestellt und lokal auf Routern und Computern im Cache temporär zwischengespeichert werden. Gelingt es Angreifern, einen dieser Nameserver über Sicherheitslücken zu korrumpieren und gefälschte Einträge einzuschleusen, gelangen die manipulierten Einträge auch in den Cache sämtlicher Server, Router und Endgeräte, die die betroffene Domain auf dem Nameserver anfragen. Der DNS Cache ist nun “vergiftet” und leitet Internetnutzer auf die von den Angreifern festgelegte Webseite um. Letztere ist zumeist darauf ausgelegt, um Logindaten zu stehlen oder Schadsoftware zu verbreiten.

02

Was macht DNS Cache Poisoning so gefährlich?

Abhängig davon, auf welchem Nameserver der Cache manipuliert wurde, besteht die Gefahr, dass die verfälschten Einträge schnell und weiträumig im Internet verteilt werden. Ist etwa ein Nameserver betroffen, der gleich mehrere Internet Service Provider (ISP) mit seinen Informationen versorgt, gelangen die schädlichen DNS-Einträge schnell zu allen Kunden der ISPs. Das Problem ist erst dann behoben, wenn alle betroffenen Caches wieder mit den korrekten Einträgen versorgt sind.

03

Welche Auswirkungen hat DNS Cache Poisoning auf Unternehmen?

Cyberkriminelle können mittels Cache Poisoning gezielt die Kunden einzelner Unternehmen und Dienste ins Visier nehmen. Für die betroffenen Firmen bedeuten solche Attacken schwerwiegende Folgen:

Schäden im operativen Geschäft

Kunden werden von der eigenen Plattform ferngehalten und können keine Einkäufe tätigen. Kommt es zu Missbrauch durch gestohlene Zugangsdaten, entstehen zusätzliche Kosten, da beispielsweise die Zahl der Rückerstattungen ansteigt.

Imageschäden

Obwohl der Fehler meist gar nicht bei den betroffenen Unternehmen selbst liegt, wirken sich Angriffe mittels Cache Poisoning sehr wohl auf deren Image aus. Für Kunden macht es keinen Unterschied, wer konkret verantwortlich ist. Sie assoziieren die Datenpanne direkt mit mangelhafter Digitalkompetenz beim Anbieter.

Datenmanipulation und Missbrauch

Kommt es im Rahmen von Cache-Poisoning-Angriffen zu einer Korrumpierung von Kundendaten, kann das ebenfalls große Schäden nach sich ziehen. Speziell wenn Manipulationen lange Zeit unentdeckt bleiben, drohen hohe Folgeschäden – mitunter für die aufwändige Bereinigung der Daten.
04

Welche Schutzmaßnahmen eignen sich gegen DNS Cache Poisoning?

Um die DNS Namensauflösung vor manipulativen Eingriffen mittels Cache Poisoning zu bewahren, eignen sich mehrere Maßnahmen und Lösungen. So können DNS-Abfragen etwa mittels DNS-Cookies geschützt werden, die die Authentizität und Integrität von Clients, Servern und den dazwischen übertragenen Daten sicherstellen. Auch die Implementierung der DNSSEC-Technologie verspricht Schutz vor Cache Poisoning, gestaltet sich in der Praxis jedoch umständlich und bringt weitere Schwachpunkte mit sich. So können Cyberkriminelle beispielsweise DNSSEC zur Verstärkung von DDoS-Angriffen missbrauchen.

05

Cache Poisoning: Das müssen Sie wissen

Cyberkriminelle nutzen Cache Poisoning, um Traffic unbemerkt auf andere Webserver umzuleiten. Hierzu manipulieren Sie über Sicherheitslücken die DNS-Einträge von Nameservern, die dann in den Cache von anfragenden Servern und Endgeräten geladen werden. Internetnutzer landen dann bei der Eingabe einer Domain im Webbrowser auf der von den Angreifern erstellten Webseite. Bei dieser handelt es sich zumeist eine Phishing-Webseite, die darauf ausgelegt sind, Logindaten und andere sensible Informationen abzugreifen. Auch zur Verbreitung von Schadsoftware lassen sich solche gefälschten Portale einsetzen.

Zur Abwehr von Cache-Poisoning-Angriffen lassen sich Nameserver mit DNS-Erweiterungen wie DNS-Cookies oder DNSSEC ausrüsten, die zur Authentifizierung und Integritätsprüfung von Clients, Servern und Daten verwendet werden. Diese Technologien erschweren Cache Poisoning für die Angreifer erheblich.

Die Myra-DNS-Infrastruktur unterstützt den Einsatz von DNS-Cookies und DNSSEC zum Schutz vor Cache Poisoning.

06

Häufige Fragen zu Cache Poisoning

Wie funktioniert DNS Spoofing?
DNS Spoofing oder Cache Poisoning ist ein spezieller Angriff auf das Domain Name System (DNS), um manipulierte Einträge in den DNS Cache von Name-Servern zu schmuggeln. Dazu wird die Zuordnung zwischen einem Domain-Namen und der zugehörigen IP-Adresse verfälscht (Der englische Begriff „Spoofing“ bedeutet übersetzt Manipulation, Verschleierung oder Vortäuschung). Der Zweck ist es, Datenverkehr unbemerkt umzuleiten, um zum Beispiel durch Phishing oder Pharming Zugangsdaten und andere Informationen abzugreifen.
Was ist ein ARP-Cache-Poisoning-Angriff?
Bei einer ARP-Cache-Poisoning-Attacke missbrauchen Angreifer das Address Resolution Protocol (ARP), um einen Computer im Netzwerk mitzuteilen, dass sich die MAC-Adresse des zugeordneten Default-Gateways geändert hat. Dazu manipulieren sie die ARP-Tabelle des anfragenden Rechners, weshalb man auch von einer „Vergiftung“ des ARP-Cache spricht. So können sie den gesamten Datenverkehr auf ein von ihnen kontrolliertes System umleiten und unbemerkt sensible Informationen wie Passwörter abgreifen.

Für weitere Informationen übersenden wir Ihnen gerne kostenfrei unser Product Sheet

Wie der DDoS-Schutz Ihre Website oder Web-Applikation vor sämtlichen DDoS-Angriffsvektoren zuverlässig sichern kann:

  • Wie wird der Schutz im Angriffsfall aktiviert?
  • Wo liegen die Vorteile der Schutzlösung?
  • Welche Funktionen umfasst der Myra DDoS-Schutz für Web-Anwendungen?

Downloadanfrage

Newsletter abonnieren

Neues Feld