How To – So einfach funktioniert die DNS Manipulation

So einfach funktioniert prinzipiell ein DNS Manipulation. Also die Manipulation des Namens bzw. eine Umleitung auf eine andere IP-Adresse. Wenn man unter anderem eine Webseite aufruft, gibt man in die Adresszeile immer einen Namen anstatt einer IP-Adresse ein.

Der PC muss aber natürlich diesen Namen übersetzen. Hierfür wird in der Regel der DNS (Domain Name Service) Dienst verwendet. Folgendes Szenario soll die Funktionsweise näher verdeutlichen.

DNS Manipulation - So einfach wird man an eine falsche Adresse geleitet
DNS Manipulation – So einfach wird man an eine falsche Adresse geleitet

Wie funktioniert dies nun genau. Als Erstes prüft der PC den DNS-Auflösungscache. Jeder Windows Server oder Client besitzt diesen Cache. Dort werden Namen eingetragen, welche erfolgreich aufgelöst wurden.

Diese Namen sind alle auch mit einer bestimmten Gültigkeitsdauer versehen. Den Inhalt des Cache kann man sich per Windows PowerShell oder auch mit der Eingabeaufforderung (Cmd) anzeigen lassen!

Per Eingabeaufforderung (cmd)

Ipconfig /displaydns

Per Windows PowerShell

Get-DnsClientCache

Neben dem Cache wird zusätzlich auch die lokale Datei hosts geprüft. Diese befindet sich im Verzeichnis: c:\Windows\System32\drivers\etc. Erst, wenn dort der Name auch nicht gefunden wird, stellt der Client eine Anfrage an den für ihn zuständigen DNS-Server.

Wo genauer gesagt, wie diese Eintragungen vorgenommen werden können, könnt ihr dem Artikel: Windows für das Netzwerk konfigurieren, entnehmen.

Die Manipulation bzw. der Hack liegt jetzt genau darin, dass man die lokale Hosts-Datei verändert. Wenn dort für einen bestimmten Namen eine spezielle IP-Adresse eingetragen wird, so wird immer genau auf diese Seite verwiesen. Natürlich könnte, dass jetzt eine Seite mit Schadecode sein.

DNS Manipulation: Verändern der Windows hosts Datei
DNS Manipulation: Verändern der Windows hosts Datei

Wie jetzt dem obigen Szenario zu entnehmen, möchte der PC auf die Internetseite it-learner.de zugreifen. Hierbei sieht er nach dem Namen im DNS-Cache und anschließend in der Hosts Datei nach.

Dort steht zu it-learner.de die IP-Adresse 172.16.1.2, welche natürlich nicht die richtige Adresse ist. Wenn also jetzt der Windows Client nach dem Namen it-learner durch das Eintippen in den Browser fragt, so bekommt er etwas anderes angezeigt. In meinem Beispiel liegt hinter dieser IP-Adresse ein Linux Webserver, welcher eine spezielle Seite hostet.

Das Prinzip ist, als dass der DNS Record manipuliert wird. Schlimm wird es natürlich dann, wenn sich dieser Eintrag nicht lokal an einem PC oder Server befindet, sondern an einem DNS-Server. Das Prinzip ist das gleiche, nur dass natürlich hier viele PCs anfragen an den Server stellen.

Dieser Artikel beinhaltet Partner-Links. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhält IT-Learner eine kleine Provision. Der Preis ändert sich für euch nicht. Danke für eure Unterstützung! Letzte Aktualisierung am 28.09.2023


Steigere dein Wissen

Kostenlose Befehlsreferenzen und E-Books herunterladen

Mehr Informationen zu den kostenlosen Materialien.


Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Nach oben scrollen