Das Domain Name System, kurz DNS, übersetzt In­ter­net­do­mains in IP-Adressen. Das global verteilte System gibt also für einzelne Domain-Namen jeweilige IP-Adressen aus und dient damit als „Adress­buch“ des Internets. Die IP-Adresse gleicht einer Post­adres­se, an die Sendungen ver­schickt werden können. Hier zwei Beispiele für DNS-Anfragen:

Ab­ge­frag­ter Do­mä­nen­na­me Zu­rück­ge­lie­fer­te IP-Adresse
'example.com' '93.184.216.34'
'ionos.de' '217.160.86.40'

Damit die Na­mens­auf­lö­sung funk­tio­niert, muss auf jedem Endgerät die IP-Adresse eines DNS-Servers ein­ge­tra­gen sein. Das Endgerät richtet seine DNS-Anfragen an diesen Server. Die dabei an­fal­len­den Daten verraten viel über das Surf­ver­hal­ten der In­ter­net­nut­zer. Möchte man seine Pri­vat­sphä­re schützen, darf man aus­ge­hen­de DNS-Anfragen nur an ver­trau­ens­wür­di­ge Server schicken. Was jedoch, wenn dabei etwas schief­geht?

Kos­ten­lo­ses DNS Hosting
Top Website-La­de­zei­ten mit kos­ten­lo­sem DNS
  • Schnel­le­re Domain-Auflösung für op­ti­mier­te La­de­zei­ten
  • Zu­sätz­li­cher Schutz gegen Ausfälle und Un­ter­bre­chun­gen
  • Kein Domain-Umzug notwendig

Was ist ein DNS Leak?

Im Gegensatz zum DNS Hijacking und DNS Spoofing gefährden DNS Leaks lediglich Nutzer, die versuchen, Ihr Surf­ver­hal­ten privat zu halten. Konkret sind Nutzer betroffen, die ihre In­ter­net­ver­bin­dung über ein vir­tu­el­les privates Netzwerk (VPN) oder einen Proxy leiten. Beide Tech­no­lo­gien dienen dazu, die per­sön­li­che Identität bei der In­ter­net­nut­zung zu ver­schlei­ern.

Der Wunsch, das Surf­ver­hal­ten geheim zu halten, deutet nicht etwa auf illegale Ak­ti­vi­tä­ten hin. Denn das Recht auf Pri­vat­sphä­re und in­for­ma­tio­nel­le Selbst­be­stim­mung sind grund­le­gen­de Men­schen­rech­te. Anbieter kom­mer­zi­el­ler VPN-Dienste un­ter­stüt­zen dieses legitime Bestreben der Nutzer gegen Zahlung einer Gebühr. Die früher häufig an­zu­tref­fen­de Nutzung von Proxys ist heut­zu­ta­ge weniger ver­brei­tet; wir be­schrän­ken unsere Be­trach­tung daher im Weiteren auf das Auftreten von DNS Leaks bei der Nutzung eines VPN.

VPN-Dienste zielen darauf ab, sämt­li­chen aus­ge­hen­den Netz­werk­ver­kehr durch das VPN zu leiten. Unter gewissen Umständen kann es jedoch vorkommen, dass einzelne Ver­bin­dun­gen direkt vom Gerät des Nutzers an Kom­mu­ni­ka­ti­ons­part­ner im Internet geleitet werden. Ein DNS Leak liegt dann vor, wenn eine DNS-Anfrage, die durch das VPN geschickt werden sollte, un­ge­schützt zu einem DNS-Server gelangt. Häufig handelt es sich dabei um den DNS-Server des In­ter­net­pro­vi­ders (ISP). ISPs sind dafür bekannt, die dabei an­fal­len­den Daten zu sammeln, aus­zu­wer­ten und zu verkaufen.

Welche In­for­ma­tio­nen werden geleakt?

Was geschieht nun, wenn es zu einem DNS Leak kommt, und welche In­for­ma­tio­nen gelangen dabei nach außen? Zunächst sind drei Fälle zu un­ter­schei­den:

  1. In­for­ma­tio­nen, die an den ISP des Nutzers gehen
  2. In­for­ma­tio­nen, die auf dem Weg zum DNS-Server ab­ge­grif­fen werden
  3. In­for­ma­tio­nen, die aufseiten eines Dienste-Be­trei­bers offenbart werden

Eine beim DNS-Server des ISP ein­ge­hen­de DNS-Abfrage enthält neben der un­ver­schlei­er­ten IP-Adresse des End­nut­zers den auf­zu­lö­sen­den Do­mä­nen­na­men. In den Server-Logs des ISP mit einem Zeit­stem­pel versehen, ergibt sich daraus die In­for­ma­ti­on, wann welcher Nutzer auf welche Domänen zugreifen wollte. Dabei handelt es sich um ein ernst­zu­neh­men­des Da­ten­schutz­pro­blem. Zum einen werden die DNS-Daten oft zu Profilen verpackt und verkauft; zum anderen können staat­li­che Stellen Zugriff auf die Daten erlangen. Dies kann für Dis­si­den­ten und Ak­ti­vis­ten im schlimms­ten Falle tödlich enden.

DNS-Anfragen nutzen das User Datagram Protocol (UDP) als Ver­bin­dungs­pro­to­koll. UDP-Pakete sind auf dem Weg zum DNS-Server für jeden Akteur einsehbar, der in der Lage ist, die Leitung zu über­wa­chen. Um das Surf­ver­hal­ten des End­nut­zers geheim zu halten, sollten die DNS-Anfragen durch das VPN geleitet werden. Seit den Snowden-Ent­hül­lun­gen ist bekannt, dass Ge­heim­diens­te den In­ter­net­ver­kehr in massivem Ausmaß über­wa­chen, ausleiten, auswerten und speichern. Die bei einem DNS Leak an­fal­len­den, per­sön­lich iden­ti­fi­zier­ba­ren DNS-Pakete stellen somit eine ernst­zu­neh­men­de Gefahr für die Si­cher­heit und Pri­vat­sphä­re der In­ter­net­nut­zer dar.

Neben den bereits genannten Gefahren im Zu­sam­men­hang mit DNS Leaks existiert ein weiteres Risiko. Denn ein DNS Leak lässt sich von dritten Parteien ausnutzen. Dabei kann es sich um einen Dienste-Anbieter handeln, z. B. um den Betreiber einer Website. Über einen Trick kann der Anbieter fest­stel­len, dass ein Nutzer über ein VPN auf den Dienst zugreift. Unter Umständen wird dem Dienste-Anbieter der ISP des Nutzers offenbart. Dies wiederum verrät die ungefähre geo­gra­fi­sche Lage des Nutzers. Derselbe Trick kommt – dann zum Wohle des Nutzers – auch bei den DNS-Leak-Testern zum Einsatz.

Wie funk­tio­niert ein DNS-Leak-Tester?

Es gibt eine Vielzahl von Diensten, die versuchen, DNS Leaks zu erkennen. Ein solcher als „DNS-Leak-Tester“ bekannter Dienst ist üb­li­cher­wei­se als normale Website rea­li­siert, die der Nutzer über den Browser aufruft. Um auf das Vor­han­den­sein eines DNS Leaks zu testen, löst der DNS-Leak-Tester eine Reihe spe­zi­el­ler Ver­bin­dungs­ver­su­che aus. Das Ziel ist, nach­zu­voll­zie­hen, woher die daraus re­sul­tie­ren­den DNS-Anfragen stammen. Doch wie genau funk­tio­niert das?

Um das Wirk­prin­zip eines DNS-Leak-Testers nach­zu­voll­zie­hen, muss man verstehen, wie das DNS aufgebaut ist. Beim DNS handelt es sich um ein hier­ar­chi­sches System aus Name­ser­vern. Dabei wird zwischen au­to­ri­ta­ti­ven und nicht­au­to­ri­ta­ti­ven Name­ser­vern un­ter­schie­den. Ein au­to­ri­ta­ti­ver Name­ser­ver dient als Quelle der DNS-Daten einer DNS-Zone. Unter einer DNS-Zone können Sie sich kon­zep­tu­ell in etwa eine Domain, ggf. mit weiteren Sub­do­mains, vor­stel­len.

Neben au­to­ri­ta­ti­ven Name­ser­vern gibt es Name­ser­ver, die Teile der DNS-Daten in einem Cache vorhalten. So können bereits gestellte Anfragen schnell be­ant­wor­tet werden, ohne jedes Mal beim au­to­ri­ta­ti­ven Name­ser­ver nach­zu­fra­gen. Der DNS-Server des ISP ist für die meisten Domains ein nicht­au­to­ri­ta­ti­ver Name­ser­ver. Schauen wir uns an, was passiert, wenn beim DNS-Server des ISP eine Anfrage für einen Do­mä­nen­na­men eingeht:

  1. Ein Klient möchte eine unter einem Domain-Namen gehostete Ressource abrufen.
  2. Der Klient stellt eine Do­mä­nen­na­men-Anfrage an den DNS-Server seines ISP.
  3. Kennt der DNS-Server die zum Do­mä­nen­na­men gehörende IP-Adresse, liefert er diese zurück.
  4. An­dern­falls fragt der DNS-Server des ISP beim au­to­ri­ta­ti­ven DNS-Server der DNS-Zone, die dem Domain-Name über­ge­ord­net ist, nach.
  5. Der au­to­ri­ta­ti­ve DNS-Server liefert die IP-Adresse für den Do­mä­nen­na­men zurück.
  6. Der DNS-Server des ISP reicht die IP-Adresse an den Client weiter und speichert die Anfrage in seinem Cache.
  7. Der Client kann nun die Anfrage nach der Ressource an den unter dem Domain-Namen er­reich­ba­ren Server stellen.

Ein DNS-Leak-Tester setzt auf diesem grund­le­gen­den Prinzip auf. Wir stellen dies hier am Beispiel der Website DNS Leak Test dar:

  1. Ein Nutzer steuert im Browser die Website dns­le­ak­test.com an.
    Die DNS-Leak-Test-Website generiert Abfragen an fiktive Res­sour­cen unter einer zufällig erzeugten, ein­deu­ti­gen Subdomain. Hier ein Beispiel für den Namen einer solchen Domain:
    c6fe4e11-d84d-4a32-86ef-ee60d9c543fa.test.dns­le­ak­test.com
     
  2. Um eine der Res­sour­cen abzurufen, benötigt der Browser des Sei­ten­be­su­chers die zum Do­mä­nen­na­men gehörende IP-Adresse.
    Da es sich um einen zufällig erzeugten Domain-Namen handelt, kann kein DNS-Server außer dem au­to­ri­ta­ti­ven die IP-Adresse kennen.
     
  3. Der DNS-Server, der die Anfrage erhält, fragt daher beim au­to­ri­ta­ti­ven DNS-Server für die DNS-Zone test.dns­le­ak­test.com nach.
    Der au­to­ri­ta­ti­ve DNS-Server für diesen Do­mä­nen­na­men steht unter der Kontrolle des Sei­ten­be­trei­bers von dns­le­ak­test.com.
     
  4. Der au­to­ri­ta­ti­ve DNS-Server gleicht den zufällig erzeugten, ein­deu­ti­gen Teil des Do­mä­nen­na­mens mit Einträgen in einer internen Datenbank ab.
    So lässt sich auf Seite von dns­le­ak­test.com nach­voll­zie­hen, welche ein­ge­hen­de DNS-Anfrage zu welchem Website-Besucher gehört.
     
  5. In Form der IP-Adresse liegt dem au­to­ri­ta­ti­ven DNS-Server die In­for­ma­ti­on vor, von welchem externen DNS-Server die Anfrage nach der IP-Adresse des zufällig erzeugten Domain-Namens stammte.
    Ist die Quelle der Anfrage der DNS-Server eines ISP, liegt ein DNS Leak vor.

Ist die Quelle der Anfrage der DNS-Server eines ISP, liegt ein DNS Leak vor.

Welche DNS-Leak-Tester gibt es?

Prin­zi­pi­ell ist es mit relativ geringem Aufwand möglich, einen DNS-Leak-Tester als Webdienst zu rea­li­sie­ren. Dem in­ter­es­sier­ten Leser sei für eine aus­führ­li­che Be­schrei­bung dieser Artikel ans Herz gelegt. Möchte man über­prü­fen, ob man selbst einem DNS Leak zum Opfer fällt, greift man auf einen der exis­tie­ren­den DNS-Leak-Tester zurück. Wir haben hier bei­spiel­haft eine Liste der­ar­ti­ger Angebote für Sie zu­sam­men­ge­tra­gen:

Wie lassen sich DNS Leaks vermeiden?

Die beste Strategie, DNS Leaks vor­zu­beu­gen, basiert auf dem IT-Si­cher­heits­kon­zept „Defense in depth“ (zu Deutsch: „in die Tiefe ge­schich­te­te Ver­tei­di­gung“). Man baut mehrere Schichten zum Schutz vor einer Bedrohung auf. Bei Wegfall einer einzelnen Schicht bleibt der Schutz bestehen. Wir empfehlen die folgenden Schritte – in dieser Rei­hen­fol­ge –, um DNS Leaks vor­zu­beu­gen:

  1. Auf dem lokalen Gerät und dem Heim­rou­ter DNS-Server ein­stel­len, die nicht unter Kontrolle des ISP stehen. Dies ist eine grund­le­gen­de Schutz­maß­nah­me, die auch anderen Risiken wie dem DNS Hijacking vorbeugt. Hier bietet sich die die Nutzung von Quad9 oder Cloud­fla­res 1.1.1.1 an. Vergessen Sie nicht, nach Änderung der DNS-Server den DNS-Cache zu leeren.
     
  2. Software nutzen, die DNS-Ver­bin­dun­gen ver­schlüs­selt, z. B. per DNS over HTTPS (DoH) oder DNS over TLS (DoT). Dies schützt vor Abgreifen und Ma­ni­pu­la­ti­on der DNS-Pakete auf dem Weg zum DNS-Server und ver­hin­dert somit auch DNS-Spoofing-Angriffe. Die Nutzung von DNS-Ver­schlüs­se­lung ist von der jeweils ein­ge­setz­ten Software abhängig. Unter den ver­brei­te­ten Browsern ist Firefox fe­der­füh­rend bei der Um­stel­lung auf ver­schlüs­sel­te DNS-Ver­bin­dun­gen. Jedoch müssen hierfür die Browser-Ein­stel­lun­gen angepasst werden, wie in unserem Artikel zum Thema DoH be­schrie­ben.
     
  3. Einen VPN-Client nutzen, der DNS-Anfragen durch das VPN leitet und eigene DNS-Server zur Verfügung stellt. Dies schützt vor sämt­li­chen im Zu­sam­men­hang mit DNS Leaks auf­tre­ten­den Gefahren. Es gibt eine beinahe un­über­schau­ba­re Band­brei­te ver­schie­de­ner VPN-Anbieter. Manche stellen ihre Dienste kostenlos zur Verfügung, andere als kom­mer­zi­el­le Dienst­leis­tung. Generell gilt Vorsicht bei kos­ten­lo­sen VPN-Diensten; für ge­wöhn­lich können Sie von diesen nicht denselben Umfang an Schutz­maß­nah­men erwarten.
Tipp

Wir haben für Sie eine Liste ver­schie­de­ner VPN-Dienste als Übersicht zu­sam­men­ge­stellt.

Die genannten Punkte bieten ein grund­le­gen­des Maß an Schutz vor DNS Leaks und sollten für die große Masse der In­ter­net­nut­zer aus­rei­chend sein. Mit­glie­der besonders ge­fähr­de­ter Gruppen, etwa Men­schen­rechts­ak­ti­vis­ten, sollten darüber hin­aus­ge­hen­de Vor­sichts­maß­nah­men treffen:

  • Kom­for­ta­bel ist der Einsatz des Tor-Browsers. Dieser ist bekannt dafür, DNS Leaks beim Zugriff auf Web­an­ge­bo­te effektiv vor­zu­beu­gen.
  • Um si­cher­zu­stel­len, dass tat­säch­lich alle aus­ge­hen­den Netz­werk­ver­bin­dun­gen durch das Tor-Netzwerk geleitet und damit de­per­so­na­li­siert werden, bootet man Tails-Linux von einem USB-Stick. Dieser Ansatz gilt als Gold­stan­dard in Sachen Ver­schleie­rung der eigenen Identität bei der In­ter­net­nut­zung.
Zum Hauptmenü