DNS-Spoofing (DNS Cache Poisoning)
DNS-Spoofing schleust gefälschte DNS-Antworten ein, damit Opfer auf falsche IP-Adressen geleitet werden. Ermöglicht Phishing, Malware-Verteilung und MITM-Angriffe.
detaillierte erklärung
DNS-Spoofing manipuliert DNS-Antworten durch zwei Hauptmethoden: 1) Cache-Poisoning - Angreifer sendet gefälschte DNS-Response, bevor legitime Antwort eintrifft (Race Condition). Muss Transaction-ID erraten (16 Bit = 65536 Möglichkeiten) oder Kaminsky-Attack nutzen (viele Subdomains gleichzeitig fragen). 2) Local DNS-Hijacking - Angreifer ändert /etc/hosts oder lokale DNS-Einstellungen des Opfers. Konsequenzen: User tippt bank.com, landet auf Phishing-Site (gleicher Look, Credentials gestohlen), Malware-Downloads unter legitimem Domainnamen, MITM-Angriffe durch Umleitung auf Angreifer-Server. Schutzmaßnahmen: DNSSEC (kryptographische Signierung, aber niedrige Adoption ~50%), DNS-over-HTTPS/TLS (verschlüsselt DNS-Verkehr), Monitoring von DNS-Antworten (plötzliche IP-Änderungen prüfen). Im Pentesting: Ettercap, dns_spoof (Metasploit-Plugin).
warum ist das wichtig?
Du brauchst das, um zu verstehen, warum DNSSEC existiert, warum interne DNS-Server gehärtet werden müssen und warum nur HTTPS nicht immer reicht (Domain zeigt auf Angreifer-IP vor TLS-Handshake).
häufige fehler
- ⚠DNS-Spoofing mit ARP-Spoofing verwechseln - Nein, DNS = Layer 7 (Application), ARP = Layer 2 (Data Link)
- ⚠zu glauben, dass alle DNS-Server validieren - Nein, nur DNSSEC-fähige Server validieren Signaturen
- ⚠anzunehmen, dass lokal im Hosts-File nichts mehr überschrieben werden kann - Nein, /etc/hosts hat Vorrang vor DNS