Dank des Domain Name System (DNS) können Nutzer ein­präg­sa­me Web­adres­sen in den Browser eingeben und werden direkt auf die ge­wünsch­te Website geleitet, obwohl dafür ei­gent­lich nu­me­ri­sche IP-Adressen nötig wären. Denn die DNS-Anfrage wird einfach an einen DNS-Server gesendet, der dann mit der korrekten IP-Adresse antwortet. Die so­ge­nann­te Na­mens­auf­lö­sung funk­tio­niert im Prinzip wie die Te­le­fon­aus­kunft – al­ler­dings voll­kom­men au­to­ma­ti­siert: Zu einem Namen wird die zu­ge­hö­ri­ge Nummer aus­ge­spielt.

Dies System ist überaus wichtig für das all­täg­li­che Surfen im World Wide Web. Umso er­schre­cken­der ist die Tatsache, wie leicht sich das DNS für schäd­li­che Zwecke miss­brau­chen lässt. In­ter­net­kri­mi­nel­le können die Anfragen des Browsers abfangen und falsche Rück­mel­dun­gen liefern. Der Nutzer gelangt dann auf eine falsche und wahr­schein­lich schäd­li­che Website, auf der sich sein Computer entweder Viren oder andere Malware einfängt, oder auf der er un­be­ab­sich­tigt sensible Daten preisgibt. DNS Hijacking kann dadurch er­heb­li­chen Schaden anrichten.

Wie funk­tio­niert die Technik? Und wie kann man sich dagegen schützen? Diesen Fragen gehen wir im Folgenden nach.

Kos­ten­lo­ses DNS Hosting
Top Website-La­de­zei­ten mit kos­ten­lo­sem DNS
  • Schnel­le­re Domain-Auflösung für op­ti­mier­te La­de­zei­ten
  • Zu­sätz­li­cher Schutz gegen Ausfälle und Un­ter­bre­chun­gen
  • Kein Domain-Umzug notwendig

Wie funk­tio­niert DNS Hijacking?

Versucht man eine Website per Eingabe der In­ter­net­adres­se im Browser zu öffnen, muss zunächst ein DNS-Eintrag auf­ge­ru­fen werden. Bei Seiten, die man erst kürzlich besucht hat, befindet sich ein solcher Eintrag noch im sys­tem­ei­ge­nen Cache. Der Browser muss dann also keine Anfrage über das Internet senden. In allen anderen Fällen muss der PC oder das Smart­phone in Kom­mu­ni­ka­ti­on mit einem Name­ser­ver treten. Oftmals werden diese von In­ter­net­pro­vi­dern gestellt. Manche Nutzer greifen aber auch auf die Dienste von Google zurück oder wenden sich an andere öf­fent­li­che DNS-Dienste.

Bild: Schaubild zur Funktionsweise von DNS Hijacking
Beim DNS Hijacking verläuft die Na­mens­auf­lö­sung über einen Name­ser­ver, der von In­ter­net­kri­mi­nel­len kon­trol­liert wird.

Diese Kom­mu­ni­ka­ti­on mit dem Server ist die riskante Stelle, denn der Austausch von Anfrage und Antwort verläuft vielfach ohne Ver­schlüs­se­lung und basiert auf Vertrauen in das System. Diese Umstände geben An­grei­fern mehrere Mög­lich­kei­ten, die Anfragen ab­zu­fan­gen und Nutzer um­zu­lei­ten.

Router Hijack

Oftmals setzen In­ter­net­kri­mi­nel­le schon beim Router ihrer Opfer an. Dafür nutzen sie aus, dass die wenigsten Nutzer die An­mel­de­da­ten ihres Routers verändern. In vielen Haus­hal­ten funk­tio­niert der Router mit dem An­mel­de­na­men und dem Passwort, mit dem das Gerät aus­ge­lie­fert wurde. Da sich viele Her­stel­ler nicht die Mühe machen, in­di­vi­du­el­le Login-Daten für jedes aus­ge­lie­fer­te Gerät zu erstellen, können Angreifer einfach mit den Stan­dard­da­ten in die Software des Geräts ein­drin­gen.

Dort können sie dann DNS-Ein­stel­lun­gen vornehmen und so auch den be­vor­zug­ten DNS-Server angeben. Angreifer tragen dort dann einfach ihren eigenen Server ein. Die Na­mens­auf­lö­sung – also die Kon­ver­tie­rung von der Web­adres­se zu einer IP-Adresse – wird so komplett durch Kri­mi­nel­le or­ga­ni­siert. Jeder Web­site­auf­ruf kann also auf eine kri­mi­nel­le Seite um­ge­lei­tet werden.

Local Hijack

Bei dieser An­griffs­form ist direkt der Computer des Nutzers betroffen. Über einen Trojaner bekommen Angreifer Zugriff auf die DNS-Ein­stel­lun­gen des Geräts. Windows er­mög­licht bei­spiels­wei­se, den be­vor­zug­ten DNS-Server direkt ein­zu­tra­gen. Das machen sich die Angreifer zunutze und geben einfach den eigenen DNS-Server an. Theo­re­tisch können Nutzer das auch sehen – doch wer überprüft re­gel­mä­ßig die DNS-Ein­stel­lun­gen seines Be­triebs­sys­tems? Auch bei dieser Technik sendet der Computer also die Anfragen direkt an den schäd­li­chen Server. Jeder Web­site­auf­ruf kann so um­ge­lei­tet werden.

Rouge Hijack

Während die anderen beiden An­griffs­ar­ten im Ein­fluss­be­reich des Nutzers liegen, sind dessen Geräte beim Rouge Hijack nicht direkt betroffen. Statt­des­sen wird direkt ein be­stehen­der Name­ser­ver– zum Beispiel beim In­ter­net­an­bie­ter – an­ge­grif­fen und über­nom­men. Die Geräte der Nutzer greifen also auf einen ei­gent­lich korrekten DNS-Server zu, dieser steht aber nicht mehr – oder zumindest teilweise nicht mehr – unter der Kontrolle des ei­gent­li­chen Anbieters. Die Angreifer ändern meist aus­ge­wähl­te Einträge.

Zwar ist eine solche Attacke sehr schwierig durch­zu­füh­ren, da die meisten Anbieter von Name­ser­vern sehr hohe Si­cher­heits­stan­dards haben, doch hat ein Angreifer erstmal Erfolg, kann er über Rouge Hijack eine enorme Menge an Nutzern erreichen. Jeder Client, der über diesen DNS-Server die Na­mens­auf­lö­sung durch­führt, kann das Opfer von DNS Hijacking werden.

Man-in-the-Middle-Attacke

Bei einer Man-in-the-Middle-Attacke fängt ein Angreifer – der sprich­wört­li­che Mann in der Mitte – Da­ten­pa­ke­te während der Kom­mu­ni­ka­ti­on zwischen Client und Server ab. Da die DNS-Anfragen vielfach nicht ver­schlüs­selt sind, kann der Angreifer einfach mitlesen. Statt der ge­wünsch­ten Website erhält der Nutzer dann die IP-Adresse zu einer schäd­li­chen Seite im Web. Der ei­gent­li­che DNS-Server wird die Anfrage ver­mut­lich niemals erhalten.

Gefahren durch DNS Hijacking

Beim DNS Hijacking werden Nutzer also auf un­ge­wünsch­te Webseiten wei­ter­ge­lei­tet – aber was kann das konkret für Schäden ver­ur­sa­chen? Möglich ist es bei­spiels­wei­se, dass Nutzer auf Websites geleitet werden, auf denen sich ihr ver­wen­de­tes System mit schäd­li­cher Software infiziert. Tat­säch­lich findet diese Form des Angriffs aber in der Praxis gar nicht oder zumindest kaum statt. Viel häufiger sind hingegen die beiden Techniken Phishing und Pharming.

Beim Phishing landet der Nutzer auf der Nach­bil­dung einer ei­gent­lich seriösen Website, die aber nur eine Attrappe ist und sensible Daten des Nutzers ermitteln soll. Der Nutzer denkt in einem solchen Fall bei­spiels­wei­se, dass er sich auf der Homepage seiner Bank befindet, und gibt wie gewohnt seine Anmelde-In­for­ma­tio­nen inklusive Passwort ein. Der Angreifer kann die In­for­ma­tio­nen dann speichern und verwenden, um das On­line­ban­king-Konto des Nutzers zu kapern.

Phishing funk­tio­niert auch ohne DNS Hijacking, indem Nutzer bei­spiels­wei­se auf ma­ni­pu­lier­te Links klicken. Doch durch die Kor­rup­ti­on des Domain Name Systems wird die Technik noch perfider: Der Nutzer kann hierbei alles rich­tig­ge­macht haben, die korrekte URL in die Adress­zei­le des Browsers ein­ge­tra­gen haben oder viel­leicht sogar auf ein Le­se­zei­chen geklickt haben, und wird dennoch auf die falsche Website geführt. Aufgrund des großen Ver­trau­ens in das DNS über­prü­fen die meisten Nutzer nicht, ob sie sich tat­säch­lich auf der ge­wünsch­ten Website befinden oder auf einer Fälschung surfen.

Pharming auf der anderen Seite ist meist weniger schädlich für den je­wei­li­gen Nutzer, kann dem Angreifer aber ebenfalls sehr nützlich sein. Bei dieser Methode werden Nutzer auf eine Website geleitet, die komplett mit Wer­be­an­zei­gen überfüllt ist. Bei jedem Aufruf dieser Seite, die ansonsten keinerlei Zweck erfüllt, erhält der Betreiber Geld – selbst dann, wenn die Seite sofort wieder ge­schlos­sen wird. Der so erzeugte Umsatz fließt dann häufig wieder in andere kri­mi­nel­le Ak­ti­vi­tä­ten.

Immer öfter wird DNS Hijacking aber auch von of­fi­zi­el­ler Seite ein­ge­setzt. Manche Re­gie­run­gen zensieren das Internet damit. Teilweise, um po­li­ti­sche Po­si­tio­nen zu un­ter­drü­cken, teilweise aber auch, um bei­spiels­wei­se Por­no­gra­fie zu un­ter­bin­den. Nutzer, die versuchen, eine be­trof­fe­ne Website auf­zu­ru­fen, werden auf eine andere Website wei­ter­ge­lei­tet. Anders als bei­spiels­wei­se beim Phishing wird der Nutzer bei dieser Form der Zensur aber meist deutlich auf den Vorgang hin­ge­wie­sen.

Auch In­ter­net­an­bie­ter selbst setzen teilweise auf DNS Hijacking: Versucht ein Nutzer, eine Web­adres­se auf­zu­ru­fen, die nicht im DNS re­gis­triert ist, wird ei­gent­lich eine Feh­ler­mel­dung (NXDOMAIN) aus­ge­ge­ben und es wird keine Website geladen. Häufig passiert dies, wenn man sich bei­spiels­wei­se bei der Eingabe der URL vertippt hat. Bevor eine Feh­ler­mel­dung aus­ge­ge­ben wird, durch­läuft die Anfrage jede Ebene des Domain Name Systems. Erst wenn von der obersten Stufe zu­rück­ge­mel­det wird, dass tat­säch­lich unter dieser Adresse kein Eintrag vorhanden ist, bekommt der Browser die Rück­mel­dung.

Genau in diesem Moment findet das DNS Hijacking durch den Netz­an­bie­ter statt: Die Feh­ler­mel­dung wird ab­ge­fan­gen und statt­des­sen wird die IP-Adresse zu einer anderen Website aus­ge­ge­ben. In­ter­net­an­bie­ter gehen diesen Schritt, um dann entweder ebenfalls auf Websites mit reichlich Werbung um­zu­lei­ten und so direkten Umsatz zu erzeugen, oder aber um auf ihre eigenen Angebote hin­zu­wei­sen. Dabei entsteht zwar kein Schaden für den Nutzer, doch die Aus­spie­lung von Werbung kann trotzdem störend wirken.

Wie kann man sich gegen DNS Hijacking schützen?

So viel­fäl­tig wie die An­griffs­mus­ter beim DNS Hijacking sind auch die Schutz­mög­lich­kei­ten. Als erstes sollte man die An­mel­de­infor­ma­tio­nen seines Routers ändern. Natürlich ist es sinnvoll, ein sehr sicheres Passwort zu wählen, aber am wich­tigs­ten ist tat­säch­lich, dass man es nicht bei den Stan­dard­wer­ten belässt. Die wenigsten In­ter­net­be­trü­ger werden sich die Mühe machen und versuchen, das Passwort zu knacken. Zu­sätz­lich sollte man die Firmware des Geräts auf dem neuesten Stand bringen. Her­stel­ler ver­öf­fent­lich relativ re­gel­mä­ßig Updates, die Si­cher­heits­lü­cken schließen.

Um den eigenen PC zu sichern, sollte man sich vor Trojanern schützen. Das geht auf der einen Seite durch Anti-Viren-Software, auf der anderen Seite aber auch durch einen um­sich­ti­gen Umgang mit Dateien im Internet. Niemals sollte man Dateien von einer un­be­kann­ten oder frag­wür­di­gen Quelle her­un­ter­la­den.

Zu­sätz­li­chen Schutz bietet eine VPN-Ver­bin­dung. Hierbei stellt der Nutzer nicht eine direkte Ver­bin­dung zu der ge­wünsch­ten Website her, sondern lässt die Kom­mu­ni­ka­ti­on über den Server eines VPN-Services laufen. Diese Ver­bin­dun­gen werden zudem in der Regel komplett ver­schlüs­selt durch­ge­führt. Man-in-the-Middle-Attacken sind damit praktisch aus­ge­schlos­sen.

Generell schützen sich Nutzer vor allem – auch gegen anderen Gefahren im Internet – durch eine gewisse Skepsis und jede Menge Vorsicht. Man sollte gerade bei Websites, die sehr sensible Nut­zer­da­ten ver­ar­bei­ten (Online-Banking, Webshops, etc.), lieber einmal zu viel auf die Echtheit des Inhalts achten. Hinweise bieten bei­spiels­wei­se SSL-Zer­ti­fi­ka­te, die man sich einfach im Browser anzeigen lassen kann.

In­zwi­schen werden sicherere Wege der Na­mens­auf­lö­sung ent­wi­ckelt. Mit DNS over HTTPS und DNS over TLS will man die Über­tra­gung ver­schlüs­seln, somit gegen Man-in-the-Middle-Attacken schützen und generell die Pri­vat­sphä­re von Nutzern erhöhen. Bisher haben sich diese Technik noch nicht als Standard für alle Systeme durch­ge­setzt.

Hinweis

Auch Web­site­be­trei­ber können aktiv werden: Mit dem neuen IONOS Domain Feature Domain Guard können Web-Ad­mi­nis­tra­to­ren Ihre Website gegen DNS Hijacking schützen. Jetzt mehr über den Domain Guard erfahren!

Zum Hauptmenü