Eine der Funktionen eines DNS-Servers besteht darin, einen Domänennamen in eine IP-Adresse zu übersetzen, die Anwendungen benötigen, um eine Verbindung zu einer Internetressource wie einer Website herzustellen. Diese Funktionalität ist in verschiedenen formalen Internetstandards definiert, die das Protokoll sehr detailliert definieren. DNS-Server werden von Computern und Benutzern mit Internetanschluss implizit als vertrauenswürdig eingestuft, um Namen korrekt in die tatsächlichen Adressen aufzulösen, die von den Inhabern einer Internetdomäne registriert wurden.

Rogue DNS serverEdit

Ein Rogue DNS-Server übersetzt Domain-Namen von wünschenswerten Websites (Suchmaschinen, Banken, Broker, etc.) in IP-Adressen von Websites mit unbeabsichtigtem Inhalt, auch bösartige Websites. Die meisten Benutzer sind auf DNS-Server angewiesen, die automatisch von ihren ISPs zugewiesen werden. Zombie-Computer verwenden DNS-ändernde Trojaner, um die automatische DNS-Serverzuweisung durch den ISP unsichtbar auf die manuelle DNS-Serverzuweisung von Rogue-DNS-Servern umzustellen. Die zugewiesenen DNS-Server eines Routers können auch durch die Remote-Ausnutzung einer Sicherheitsanfälligkeit in der Firmware des Routers geändert werden. Wenn Benutzer versuchen, Websites zu besuchen, werden sie stattdessen an eine gefälschte Website gesendet. Dieser Angriff wird als Pharming bezeichnet. Wenn es sich bei der Website, auf die sie umgeleitet werden, um eine bösartige Website handelt, die sich als legitime Website tarnt, um auf betrügerische Weise vertrauliche Informationen zu erhalten, spricht man von Phishing.

Manipulation durch ispsbearbeiten

Eine Reihe von Verbraucher-ISPs wie AT&T, Optimum Online von Cablevision, CenturyLink, Cox Communications, RCN, Rogers, Charter Communications (Spectrum), Plusnet, Verizon, Sprint, T-Mobile US, Virgin Media, Frontier Communications, Bell Sympatico, Deutsche Telekom AG, Optus, Mediacom, ONO, TalkTalk, Bigpond (Telstra), TTNET, Türksat und Telkom Indonesia verwenden oder verwenden DNS-Hijacking für ihre eigenen Zwecke, z. B. zum Anzeigen von Werbung oder zum Sammeln von Statistiken. Niederländische ISPs XS4ALL und Ziggo verwenden DNS-Hijacking per Gerichtsbeschluss: sie wurden angewiesen, den Zugang zu The Pirate Bay zu blockieren und stattdessen eine Warnseite anzuzeigen. Diese Praktiken verstoßen gegen den RFC-Standard für DNS-Antworten (NXDOMAIN) und können Benutzer möglicherweise für Cross-Site-Scripting-Angriffe öffnen.

Das Problem mit DNS-Hijacking betrifft dieses Hijacking der NXDOMAIN-Antwort. Internet- und Intranetanwendungen verwenden die NXDOMAIN-Antwort, um den Zustand zu beschreiben, in dem das DNS keinen Eintrag für den angegebenen Host enthält. Wenn man den ungültigen Domainnamen abfragen würde (zum Beispiel www.Beispiel.ungültig), sollte eine NXDOMAIN-Antwort erhalten werden, die die Anwendung darüber informiert, dass der Name ungültig ist, und die entsprechenden Maßnahmen ergreift (z. B. einen Fehler anzeigen oder keine Verbindung zum Server herstellen). Wenn jedoch der Domainname bei einem dieser nicht konformen ISPs abgefragt wird, würde man immer eine gefälschte IP-Adresse des ISP erhalten. In einem Webbrowser kann dieses Verhalten ärgerlich oder anstößig sein, da Verbindungen zu dieser IP-Adresse die ISP-Umleitungsseite des Anbieters anzeigen, manchmal mit Werbung, anstelle einer ordnungsgemäßen Fehlermeldung. Andere Anwendungen, die sich jedoch auf den NXDOMAIN-Fehler verlassen, versuchen stattdessen, Verbindungen zu dieser gefälschten IP-Adresse herzustellen, wodurch möglicherweise vertrauliche Informationen verfügbar gemacht werden.

Beispiele für Funktionen, die unterbrochen werden, wenn ein ISP DNS entführt:

  • Roaming-Laptops, die Mitglieder einer Windows Server-Domäne sind, werden fälschlicherweise zu der Annahme verleitet, dass sie sich wieder in einem Unternehmensnetzwerk befinden, da Ressourcen wie Domänencontroller, E-Mail-Server und andere Infrastrukturen verfügbar zu sein scheinen. Anwendungen versuchen daher, Verbindungen zu diesen Unternehmensservern herzustellen, schlagen jedoch fehl, was zu Leistungseinbußen, unnötigem Datenverkehr über die Internetverbindung und Zeitüberschreitungen führt.
  • Viele kleine Büro- und Heimnetzwerke haben keinen eigenen DNS-Server und verlassen sich stattdessen auf die Broadcast-Namensauflösung. Viele Versionen von Microsoft Windows priorisieren standardmäßig die DNS-Namensauflösung über der NetBIOS-Namensauflösung.; wenn ein ISP-DNS-Server daher eine (technisch gültige) IP-Adresse für den Namen des gewünschten Computers im LAN zurückgibt, verwendet der verbindende Computer diese falsche IP-Adresse und stellt zwangsläufig keine Verbindung zum gewünschten Computer im LAN her. Zu den Problemumgehungen gehören die Verwendung der richtigen IP-Adresse anstelle des Computernamens oder das Ändern des Registrierungswerts DhcpNodeType, um die Reihenfolge der Namensauflösungsdienste zu ändern.
  • Browser wie Firefox verfügen nicht mehr über die Funktion ‚Nach Namen durchsuchen‘ (wobei in die Adressleiste eingegebene Schlüsselwörter Benutzer zur nächstgelegenen übereinstimmenden Site führen).
  • Der in moderne Betriebssysteme integrierte lokale DNS-Client speichert Ergebnisse von DNS-Suchen aus Leistungsgründen zwischen. Wenn ein Client zwischen einem Heimnetzwerk und einem VPN wechselt, können falsche Einträge zwischengespeichert bleiben, wodurch ein Dienstausfall der VPN-Verbindung verursacht wird.
  • DNSBL-Anti-Spam-Lösungen sind auf DNS angewiesen; falsche DNS-Ergebnisse beeinträchtigen daher deren Betrieb.
  • Vertrauliche Benutzerdaten können von Anwendungen durchgesickert sein, die vom ISP dazu verleitet werden zu glauben, dass die Server, mit denen sie sich verbinden möchten, verfügbar sind.
  • Die Wahl des Benutzers, welche Suchmaschine im Falle eines URL-Tippfehlers in einem Browser konsultiert werden soll, wird entfernt, da der ISP bestimmt, welche Suchergebnisse dem Benutzer angezeigt werden.
  • Computer, die für die Verwendung eines geteilten Tunnels mit einer VPN-Verbindung konfiguriert sind, funktionieren nicht mehr, da Intranetnamen, die nicht außerhalb des Tunnels über das öffentliche Internet aufgelöst werden sollten, in fiktive Adressen aufgelöst werden, anstatt sie korrekt über den VPN-Tunnel auf einem privaten DNS-Server aufzulösen, wenn eine NXDOMAIN-Antwort aus dem Internet empfangen wird. Beispielsweise kann ein E-Mail-Client, der versucht, den DNS-A-Eintrag für einen internen E-Mail-Server aufzulösen, eine falsche DNS-Antwort erhalten, die ihn an einen kostenpflichtigen Webserver weiterleitet.
  • Es bricht das Web Proxy Autodiscovery Protocol (WPAD), indem Webbrowser fälschlicherweise glauben, dass der ISP einen Proxyserver konfiguriert hat.
  • Es bricht Überwachungssoftware. Wenn beispielsweise ein Server regelmäßig kontaktiert wird, um seinen Zustand zu ermitteln, wird einem Monitor niemals ein Fehler angezeigt, es sei denn, der Monitor versucht, den kryptografischen Schlüssel des Servers zu überprüfen.

In einigen, aber nicht in den meisten Fällen bieten die ISPs vom Abonnenten konfigurierbare Einstellungen, um das Hijacking von NXDOMAIN-Antworten zu deaktivieren. Korrekt implementiert, setzt eine solche Einstellung DNS auf das Standardverhalten zurück. Andere ISPs verwenden jedoch stattdessen ein Webbrowser-Cookie, um die Präferenz zu speichern. In diesem Fall wird das zugrunde liegende Verhalten nicht behoben: DNS-Abfragen werden weiterhin umgeleitet, während die ISP-Umleitungsseite durch eine gefälschte DNS-Fehlerseite ersetzt wird. Andere Anwendungen als Webbrowser können nicht von dem Schema mit Cookies abgemeldet werden, da das Opt-Out nur auf das HTTP-Protokoll abzielt, wenn das Schema tatsächlich im protokollneutralen DNS-System implementiert ist.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.