DNS-Spoofing

Aus IT-Forensik Wiki

Definition

DNS-Spoofing bezeichnet einen Angriff, bei dem gefälschte DNS-Antworten erzeugt werden, um Anfragen nach legitimen Domainnamen auf manipulierte IP-Adressen umzuleiten. Das Ziel besteht darin, Nutzer unbemerkt auf falsche Server zu führen – beispielsweise zur Datenspionage oder zum Phishing [1].

Angriffsvektoren

  1. Man-in-the-Middle (MITM): Ein Angreifer, der sich zwischen Client und DNS-Server befindet (z. B. in öffentlichen WLANs), kann DNS-Anfragen abfangen und gefälschte Antworten zurücksenden [2].
  2. DNS-Cache-Poisoning: Wird der Cache eines DNS-Servers manipuliert, kann dieser falsche Zuordnungen von Domainnamen zu IP-Adressen speichern. Diese fehlerhaften Informationen können bei weiteren Anfragen an andere Clients oder Server weitergegeben werden und sich kaskadenartig ausbreiten. Dies stellt ein erhebliches Sicherheitsrisiko dar, da Nutzer auf manipulierte oder gefälschte Webseiten umgeleitet werden können [3].
  3. DNS-Hijacking: Wird ein DNS-Server kompromittiert, kann der Angreifer alle anfragenden Clients auf gefälschte IP-Adressen umleiten – auch ohne sich im selben Netzwerk zu befinden [2].

Bedeutung für die IT-Forensik

DNS-Spoofing ist für forensische Untersuchungen relevant, da es gezielt zur Umlei- tung von Datenverkehr genutzt werden kann. Die dabei entstehenden Spuren sind oft flüchtig, da manipulierte DNS-Antworten und Cache-Einträge häufig nur temporär im Arbeitsspeicher oder in flüchtigen Caches abgelegt werden.

Beweissicherung

  • Netzwerk-Mitschnitte mit DNS-Paketen (z. B. PCAP-Dateien)
  • System- und DNS-Logs inklusive Zeitstempel
  • Cache-Inhalte des DNS-Resolvers (sofern abrufbar)
  • Konfigurationsdateien von DNS-Servern und ‑Clients
  • Überprüfung der Namensauflösungsintegrität (z. B. durch Einsatz von DNS-SEC)

Forensische Analyse

  • Auswertung von DNS-Logs zur Rückverfolgung verdächtiger oder kompromittierter Anfragen
  • Vergleich der tatsächlichen DNS-Zuordnung mit dem Caching-Verhalten
  • Analyse von TTL-Werten, um ungewöhnliche Cache-Dauern oder gezielte Manipulationen zu erkennen

Forensische Tools zur DNS-Spoofing-Analyse

  1. Wireshark: Analyse von DNS-Anfragen und -Antworten (u. a. Transaction-ID, UDP-Port, Antwortquelle)
  2. DNS Monitoring Tools: Kontinuierliche Überwachung von DNS-Anomalien, Antwortzeiten und verdächtigen Domains (z. B. Nagios, SolarWinds)[4]

Literatur

[1] Claudia Eckert: IT-Sicherheit – Konzepte, Verfahren, Protokolle, 11. Auflage, Springer Vieweg, 2023, Kapitel 3.4, S. 190–192.

[2] Jörg Schwenk: Sicherheit und Kryptographie im Internet – Theorie und Praxis, 5. Auflage, Springer Vieweg, Kapitel 15.2.1, S. 407–408.

[3] BSI: APP.3.6 DNS-Server, IT-Grundschutz-Kompendium, Edition 2021, S.�7. Abgerufen am 03.07.2025, https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/ IT-GS-Kompendium_Einzel_PDFs_2021/06_APP_Anwendungen/APP_3_6_DNS_ Server_Edition_2021.pdf

[4] DNSstuff: DNS Monitoring Tools, abgerufen am 03.07.2025, https://www.dnsstuff.com/dns-monitoring-software

Abgerufen von „http://it-forensik.fiw.hs-wismar.de/index.php?title=DNS-Spoofing&oldid=3243