DNS-Spoofing.

DNS-Spoofing manipuliert die Namensauflösung im Domain Name System, sodass die Abfrage eines legitimen Hostnamens eine vom Angreifer gewählte IP-Adresse zurückgibt. Erreicht wird dies durch das Manipulieren von hosts-Dateien, das Abfangen des Resolver-Verkehrs, das Ausnutzen schwacher Transaktions-IDs oder das Vergiften von Caches rekursiver Resolver. Nach der Umleitung greifen Angreifer Zugangsdaten ab, verteilen Schadsoftware oder führen mit gefälschten Zertifikaten einen Man-in-the-Middle-Angriff auf TLS-Sitzungen durch.

Die klassische Technik ist Dan Kaminskys Cache-Poisoning-Angriff von 2008. Da ältere Resolver Antworten nur über eine 16-Bit-Transaktions-ID authentifizierten, konnte ein Off-Path-Angreifer einen Resolver mit gefälschten Antworten für zufällige, nicht existierende Subdomains überfluten, das Wettrennen gegen den echten autoritativen Server gewinnen und einen vergifteten NS-Eintrag für die gesamte Domain einschleusen. Die in RFC 5452 standardisierte Korrektur ergänzte die Zufallswahl des Quellports — wodurch aus einem Suchraum von rund 65.000 Versuchen Milliarden von Kombinationen wurden. Stärkeren Schutz bieten DNSSEC (RFC 4033–4035), das Einträge kryptografisch signiert, damit Resolver gefälschte Antworten ablehnen können, sowie verschlüsselter Transport wie DoH (RFC 8484) und DoT (RFC 7858), der Manipulationen auf dem Übertragungsweg in gemeinsam genutzten WLANs verhindert.

sequenceDiagram
  participant V as Opfer
  participant R as Resolver
  participant A as Angreifer
  participant N as Echter Nameserver
  V->>R: Abfrage bank.example?
  R->>N: Rekursive Auflösung
  A-->>R: Gefälschte Antwort mit erratener TXID/Port -> Angreifer-IP
  N-->>R: Echte Antwort trifft zu spät ein
  R-->>V: Zwischengespeicherte vergiftete Antwort
  V->>A: Verbindet sich mit Angreifer-IP

Schutzmaßnahmen umfassen DNSSEC-Validierung, verschlüsselten Transport (DoH/DoT), zufällige Quellports und Transaktions-IDs, Resolver-Härtung sowie das Monitoring auffälliger Auflösungsmuster.