Bundesamt für Sicherheit in der Informationstechnik

G 5.152 DNS-Hijacking

DNS-Hijacking ist eine Angriffsmethode, die verwendet wird, um die Kommunikation zwischen Advertising DNS -Servern und Resolvern über das IT -System eines Angreifers zu leiten. Es handelt sich hierbei also um eine Man-in-the-Middle-Attacke. Die Kommunikation wird nicht direkt zwischen den beiden Kommunikationspartnern geführt, sondern über einen Dritten geleitet.

Der Angreifer hat die Möglichkeit die Kommunikation abzuhören und aufzuzeichnen. Die weitaus größere Gefahr besteht jedoch darin, dass ein erfolgreicher Angreifer jeglichen Verkehr der beiden Kommunikationspartner beliebig verändern kann. Ein Angreifer kann somit:

  • Pakete verwerfen,
  • Pakete modifizieren und weiterleiten oder,
  • eigene Antwortpakete senden.

Wird nach einem erfolgreichen DNS-Hijacking Angriff vom Resolver eines Client-IT-Systems eine Anfrage an einen DNS-Server gesendet, unabhängig ob es sich dabei um einen Advertising oder einen Resolving DNS-Server handelt, kann der Angreifer beispielsweise die Zuordnung von Namen und IP-Adresse nach seinen Wünschen abändern.

DNS-Hijacking kann auch mit anderen Angriffen kombiniert werden, besonders Phishing bietet sich in diesem Fall an. Bei Phishing (abgeleitet aus "Passwort" und "Fishing") werden Benutzern Passwörter oder ähnliche Informationen entlockt (siehe beispielsweise auch G 5.42 Social Engineering und G 5.78 DNS-Spoofing ), um diese Daten weiter zu verkaufen oder für den eigenen Vorteil zu benutzen.

Beispiel:

  • Eine Firma betreibt einen Webshop und ein Kunde möchte dort einkaufen. Einem Angreifer gelingt es, sämtlichen DNS-Verkehr des Kunden und der Firma über ihn zu leiten. Der Kunde gibt in seinem Browser den Domainnamen des Webshops ein. Im Normalfall wird im Hintergrund der Name automatisch in die zugehörige IP-Adresse aufgelöst. Da nun aber der Angreifer zwischengeschaltet ist, verwirft er die DNS-Anfrage und sendet sein eigenes Antwortpaket. Dabei vertauscht er die Zuordnung von IP-Adresse und Namen so, dass der Kunde nicht auf den Webshop der Firma, sondern auf den Webshop des Angreifers gelangt. Der Webshop des Angreifers ist ein optischer Nachbau des Webshops der gewünschten Firma, somit fällt dem Kunden kein Unterschied auf. Er gibt seine Logindaten und nach dem Einkauf seine Kreditkartennummer ein, welche er somit dem Angreifer verraten hat. Als Folge kann der Angreifer die Daten benutzen, um Einkäufe auf Kosten des Kunden zu tätigen, oder die erhaltenen Daten weiterverkaufen.

Stand: 12. EL Stand 2011