DNS-Spoofing zählt zu den gefährlichsten Angriffsarten im Internet. Benutzer lassen sich unmerklich auf falsche Web-Seiten umleiten. Derzeit sind alle DNS-Server im Internet anfällig gegen derartige Manipulationen. Hacker haben ein besonders leichtes Spiel, wenn der Server für den Domain Name Service mit alten Versionen betrieben wird. Wie eine Untersuchung der Articon Information Systems GmbH ergab, ist das derzeit bei 90 Prozent aller DNS-Server der Fall.Namens-Server haben die Funktion eines Telefonbuchs: Sie setzen die im Internet gebräuchlichen Namensadressen (www.xyz.de) in IP-Nummern um. Diese Nummern sind wichtig, um die Verbindung überhaupt aufzubauen, da sich die Rechner untereinander nur mit Nummern verständigen. Die Namen sind eigentlich nur eine Erleichterung für die Anwender. DNS-Spoofing bedeutet nun, die Namens-Server im Internet dazu zu bringen, falsche IP-Nummern herauszugeben. Auf diese Weise landet der Benutzer auf dem Rechner des Hackers.
DNS-Spoofing erfolgt in zwei Schritten:
* Ein Hacker stellt an den Namens-Server, den er spoofen will, eine rekursive Anfrage nach seinem eigenen Rechner, um die aktuelle Query-ID des Namens-Servers herauszufinden. Der Namens-Server des Providers verwendet diese Query-IDs (Anfragenummer), wenn er die Anfrage an einen anderen Namens-Server weiterleitet. Der DNS-Server des Providers benötigt diese Nummern, um die Antworten den Anfragen zuzuordnen. Das Wissen um diese Query-ID ist für eine erfolgreiche Manipulation erforderlich.
* Der Hacker weiß nun, welche Query-ID aktuell ist und fragt nach www.company.com. Neben der Anfrage schickt er auch sofort die Antwort auf den Weg und versieht sie mit der Query-ID und dem Absender von ns.company.com, die der DNS-Server des Providers für seine Anfrage verwenden würde. Bei der Antwort wird www.company.com nicht der rechtmäßigen IP-Nummer zugeordnet, sondern der IP-Nummer des vom Hacker verwendeten Rechners. Der DNS-Server des Providers erkennt nur, daß die Query-ID zu einer Anfrage gehört und speichert diese Antwort einen bestimmten Zeitpunkt (in der Regel 24 Stunden) im Cache. Die "rechtmäßige" Antwort des zweiten DNS-Servers wird verworfen. Jede Anfrage nach www.company.com, die auf dem DNS-Servers des Providers eingeht, wird innerhalb dieses Zeitraums mit der falschen Information beantwortet. Der Benutzer landet nicht auf der echten Web-Seite von www.company.com, sondern unmerklich auf dem Rechner und der dort bereitgestellten Seite des Hackers. Dieser kann ihm so Informationen wie Kreditkartennummern, Paßwörter etc. entlocken.
Aufgrund der derzeitigen Konzeption des Internet-Protokolls (IP) läßt sich DNS-Spoofing nicht verhindern. Abhilfe wird erst vom Internet-Protokoll-Verfahren 6 (momentan 4) erwartet, dessen Einführung vermutlich noch fünf Jahre dauern wird. Articon hat deshalb einen Patch entwickelt, der Internet-Providern und Unternehmen, die DNS-Server betreiben, kostenlos bereitgestellt wird. Dieses Software-Update alarmiert den Administrator bei Spoofing-Angriffen. Zudem werden solche Attacken erschwert, indem für die Query-IDs mit Hilfe eines Entropie-Pools Zufallszahlen erzeugt werden.
Alfred Bauer ist Geschäftsführer der Articon Information Systems GmbH in Aschheim bei München.