Sie befinden sich hier: Themen. IT-Grundschutz. IT-Grundschutz-Kataloge. Dokument: G 5.78 DNS-Spoofing und Pharming - IT-Grundschutz-Kataloge - 10. EL Stand 2008
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

G 5.78 DNS-Spoofing und Pharming

Um im Internet mit einem anderen Rechner kommunizieren zu können, benötigt man dessen IP-Adresse. Diese Adresse setzt sich aus vier Zahlen zwischen 0 und 255 zusammen, also zum Beispiel 127.0.0.1. Da solche Nummern nicht sehr einprägsam sind, wird einer solchen IP-Adresse fast immer ein Name zugeordnet. Das Verfahren hierzu nennt sich DNS (Domain Name System). Wenn beispielsweise per Browser auf den Webserver des BSI unter http://www.bsi.bund.de zugegriffen wird, erfolgt automatisch eine DNS-Abfrage, welche IP-Adressen diesem Rechnernamen zugeordnet sind.

Die Datenbanken, in denen den Rechnernamen die zugehörigen IP-Adressen zugeordnet sind, befinden sich auf so genannten Nameservern. Für die Zuordnung zwischen Rechnernamen und IP-Adressen gibt es zwei Datenbanken: In der einen wird einem Namen seine IP-Adresse zugewiesen und in der anderen einer IP-Adresse der zugehörige Name. Diese Datenbanken müssen miteinander nicht konsistent sein!

Um unnötige Anfragen beim DNS-Server zu vermeiden, können Rechnernamen und IP-Adressen auch lokal auf Clients gespeichert werden. Dies kann sowohl automatisch geschehen, wobei jede IP-Adresse in bestimmten Intervallen vom DNS-Server erneut abgefragt und dann zwischengespeichert wird, als auch durch eine feste Zuordnung in der "hosts"-Datei.

Von DNS-Spoofing ist die Rede, wenn es einem Angreifer gelingt, die Zuordnung zwischen einem Rechnernamen und der zugehörigen IP-Adresse zu fälschen, d. h. dass ein Name in eine falsche IP-Adresse bzw. umgekehrt umgewandelt wird. Beim klassischen DNS-Spoofing wird nicht der Client-PC durch Schadsoftware manipuliert. Stattdessen werden Schwachstellen in der DNS-Kommunikation ausgenutzt. Hierdurch sind unter anderem die folgenden Angriffe möglich:

Wie leicht es ist, DNS-Spoofing durchzuführen, hängt davon ab, wie das Netz des Angegriffenen konfiguriert ist. Da kein Rechner alle DNS-Informationen der Welt besitzen kann, ist er immer auf Informationen anderer Rechner angewiesen. Um die Häufigkeit von DNS-Abfragen zu verringern, speichern die meisten Nameserver Informationen, die sie von anderen Nameservern erhalten haben, für eine gewisse Zeit zwischen.

Ist ein Angreifer in einen Nameserver eingebrochen, kann er auch die zur Verfügung gestellten Informationen abändern. Der Fall eines direkten Einbruchs auf einen Nameserver soll hier nicht weiter betrachtet werden. Vielmehr geht es darum, prinzipielle Gefahren beim Einsatz von DNS aufzuzeigen.

Beispiele:

Diese beiden Beispiele beruhen darauf, dass ein Nameserver auch zusätzliche Daten, die er gar nicht angefordert hat, akzeptiert. In neuen Versionen bestimmter Software (z. B. bind) ist dieser Fehler beseitigt, so dass diese Art von Angriffen verhindert wird. Es ist allerdings unter Verwendung von IP-Spoofing noch immer möglich, falsche DNS-Einträge zu erzeugen. Dieser Angriff ist jedoch technisch viel anspruchsvoller.

Bei Pharming werden DNS-Anfragen von Browsern manipuliert (beispielsweise durch DNS-Spoofing), um Benutzer auf gefälschte Webseiten umzuleiten. Pharming hat sich aus Phishing weiterentwickelt. Bei Phishing (abgeleitet aus "Passwort" und "Fishing") werden Benutzern Passwörter oder ähnliche Informationen entlockt (siehe auch G 5.42 Social Engineering). Der Begriff "Pharming" leitet sich aus "Phishing" und "Farming" ab. Bei dieser Angriffsmethode werden auf großen Server-Farmen viele gefälschte Webseiten angeboten.

Ein oft vorzufindender Ansatz bei Pharming ist die Manipulation von Clients durch Schadsoftware. Beispielsweise könnte die Schadsoftware in der lokalen "hosts"-Datei eines Clients beliebigen Rechnernamen beliebige IP-Adressen zuordnen. So könnte ein Angreifer dem Rechnernamen eines Homebanking-Servers die IP-Adresse eines falschen Servers zuordnen und dadurch die Benutzeranfragen umleiten. Häufig sind bei solchen Angriffen die Webseiten auf dem falschen Server optisch nicht von den Original-Webseiten zu unterscheiden, so dass der Benutzer keinen Verdacht schöpft.