Was ist ein DNS-Hijacking-Angriff und wie kann er verhindert werden?
DNS ist wichtig, um die URLs aufzulösen, die Sie in die Adressleiste Ihres Browsers eingeben. Es wird viel Arbeit investiert Domain Name Auflösung. Dies ist eine Art rekursiver Vorgang, der Ihrem Browser hilft, die IP-Adresse der Website zu erhalten, die Sie erreichen möchten. Bei Interesse können Sie mehr über DNS-Lookup und -Server erfahren.
Der Begriff DNS-Cache bezieht sich auf den lokalen Cache, der die aufgelösten IP-Adressen von Websites enthält, die Sie häufig verwenden. Die Idee des DNS-Cache besteht darin, Zeit zu sparen, die andernfalls für die Kontaktaufnahme mit DNS-Servern aufgewendet würde, die rekursive Operationen starten, um die tatsächliche IP-Adresse der URL herauszufinden, die Sie erreichen müssen. Dieser Cache kann jedoch von Cyberkriminellen vergiftet werden, indem Sie einfach die Einträge in Ihrem DNS-Cache in gefälschte IP-Adressen für die von Ihnen verwendeten Websites ändern.
Was ist DNS-Hijacking?
Wie der Name vermuten lässt, ist DNS Hijacking oder Redirection eine Methode, die von Internetkriminellen verwendet wird, um den Versuch Ihres Browsers, die IP-Adresse der zu ladenden Website aufzulösen, zu entführen. Die URLs, die wir verwenden, sind aus Gründen der Benutzerfreundlichkeit im Textformat. Für jede URL gibt es eine IP-Adresse, und es wird eine Reihe von Operationen zur Umwandlung der Text-URL in eine numerische IP-Adresse verwendet. Da es viele Vorgänge bei der Auflösung der IP-Adresse gibt, können Cyberkriminelle die Verzögerung nutzen und eine falsche IP-Adresse an Ihren Computer senden, die zu ihnen gehört.
Am meisten übliche Methode für DNS-Hijacking Installieren Sie auf Ihrem Computer eine Malware, die den DNS so ändert, dass der Browser immer dann, wenn Ihr Browser versucht, eine URL aufzulösen, einen gefälschten DNS-Server kontaktiert, anstatt echte DNS-Server, die von ICANN (der für die Registrierung zuständigen Behörde des Internet) verwendet werden Domänen, verwalten diese, geben ihnen IP-Adressen, pflegen die Kontaktadressen und mehr). Die direkten DNS-Server, die Ihr Computer kontaktiert, sind die DNS-Server, die von Ihrem Internetdienstanbieter betrieben werden, sofern Sie sie nicht geändert haben. Wenn eine Internetverbindung gekauft wird, werden die verwendeten DNS-Server vom ISP - von ICANN erkannt.
Die Malware auf Ihrem Computer ändert den Standard-DNS, den Ihr Computer als vertrauenswürdig erachtet, um auf eine andere IP-Adresse zu verweisen. Wenn Ihr Browser versucht, eine IP-Adresse aufzulösen, kontaktiert Ihr Computer einen gefälschten DNS-Server, der Ihnen eine falsche IP-Adresse gibt. Dies führt dazu, dass Ihr Browser eine schädliche Website lädt, die Ihren Computer gefährden oder Ihre Anmeldeinformationen stehlen kann.
DNS-Hijacking vs. DNS-Cache-Poisoning
Obwohl beide auf lokaler Ebene geschehen, stammen sie von gefälschten DNS-Servern. Während DNS-Hijacking beinhaltet eine Malware, das Beim DNS-Cache-Poisoning wird der lokale DNS-Cache mit falschen Werten überschrieben die Ihren Browser auf schädliche Websites umleiten. Beim DNS-Cache-Poisoning oder -Spoofing werden beispielsweise gefälschte IP-Adressen bombardiert, die Ihr Computer aufnimmt, während die echten DNS-Server noch mit der Auflösung der URL beschäftigt sind. In der Zeit, in der echte DNS-Server eine URL auflösen, senden die Cyberkriminellen zahlreiche Antworten, die die URL mit gefälschten IP-Adressen gleichsetzen.
Zum Beispiel geben Sie ein thewindowsclub.com in Ihrem Browser Wenn ein authentischer DNS-Server nach den Adressen sucht, erhält Ihr Computer mehr als eine Auflösung, wenn sich die Site auf der XYZ-IP-Adresse befindet. Dies lässt Ihren Computer glauben, dass sich die Site bei XYZ befindet, obwohl der echte DNS-Server die echte IP-Adresse sendet, da die DNS-Server der Cyberkriminellen viele Antworten mit einer falschen IP gesendet haben thewindowsclub.com.
Dieser Zeitunterschied wird von Cyberkriminellen, die über viele gefälschte DNS-Server verfügen, effektiv genutzt, damit Ihr Computer falsche und bösartige IP-Adressen in den Cache speichert. Daher hat eine der zehn gefälschten DNS-Auflösungen, die von den DNS-Servern von Cyberkriminellen gesendet werden, Vorrang vor einer echten DNS-Auflösung, die von den echten DNS-Servern gesendet wird. Andere Methoden für DNS-Cache-Poisoning und -Verhinderung sind im oben angegebenen Link aufgeführt.Obwohl DNS-Cache-Poisoning und DNS-Hijacking austauschbar verwendet werden, gibt es einen kleinen Unterschied zwischen ihnen. Die Methode des DNS-Cache-Poisoning umfasst nicht das Injizieren von Malware in Ihr Computersystem, sondern basiert auf verschiedenen Methoden wie den oben erläuterten, bei denen gefälschte DNS-Server eine URL-Auflösung schneller als der echte DNS-Server senden und der Cache daher vergiftet ist. Wenn der Cache vergiftet ist und Sie eine infizierte Website verwenden, ist Ihr Computer gefährdet. Im Falle von DNS-Hijacking sind Sie bereits infiziert. Eine Malware ändert Ihren Standard-DNS-Dienstanbieter in etwas, was die Cyberkriminellen wollen. Von dort aus steuern sie Ihre URL-Auflösungen (DNS-Lookups) und vergiften dann Ihren DNS-Cache.
So verhindern Sie DNS-Hijacking
Wir haben bereits diskutiert, wie man DNS-Vergiftungen verhindern kann. Um DNS-Hijacking zu stoppen oder zu verhindern, wird empfohlen, eine gute Sicherheitssoftware zu verwenden, die Malware wie DNS-Wechsler fernhält. Mit einer guten Firewall. Eine hardwarebasierte Firewall ist am besten. Wenn Sie sie nicht haben, können Sie zumindest die Router-Firewall einschalten.
Wenn Sie glauben, bereits infiziert zu sein, sollten Sie den Inhalt der HOSTS-Datei löschen und die Hosts-Datei zurücksetzen. Danach können Sie eine Antimalware verwenden, mit der Sie DNS-Wechsler loswerden können.
Prüfen Sie, ob ein DNS-Wechsler Ihren DNS geändert hat. Wenn ja, sollten Sie Ihre DNS-Einstellungen ändern. Sie können es automatisch überprüfen. Alternativ können Sie manuell nach DNS suchen. Überprüfen Sie zunächst den in Router und in den einzelnen Computern in Ihrem Netzwerk angegebenen DNS. Ich würde empfehlen, dass Sie Ihren Windows-DNS-Cache leeren und den DNS Ihres Routers in andere DNS umwandeln, z. B. Comodo-DNS, Open-DNS, Google Public-DNS, Yandex-Secure-DNS, Angel-DNS usw. Ein sicheres DNS im Router ist besser als die Konfiguration jedes einzelnen Computer.
Es gibt Tools, die Sie interessieren könnten: F-Secure Router Checker überprüft das DNS-Hijacking, dieses Online-Tool prüft das DNS-Hijacking und das WhiteHat Security Tool überwacht das DNS-Hijacking.
Jetzt lesen: Was ist Domain-Hijacking und wie man eine entführte Domain wiederherstellt.