How To – So einfach funktioniert die DNS Manipulation

So einfach funktioniert prinzipiell ein DNS Manipulation. Also die Manipulation des Namens bzw. eine Umleitung auf eine andere IP-Adresse. Wenn man unter anderem eine Webseite aufruft, gibt man in die Adresszeile immer einen Namen anstatt einer IP-Adresse ein.

Der PC muss aber natürlich diesen Namen übersetzen. Hierfür wird in der Regel der DNS (Domain Name Service) Dienst verwendet. Folgendes Szenario soll die Funktionsweise näher verdeutlichen.

DNS Manipulation - So einfach wird man an eine falsche Adresse geleitet
DNS Manipulation – So einfach wird man an eine falsche Adresse geleitet

Wie funktioniert dies nun genau. Als Erstes prüft der PC den DNS-Auflösungscache. Jeder Windows Server oder Client besitzt diesen Cache. Dort werden Namen eingetragen, welche erfolgreich aufgelöst wurden.

Diese Namen sind alle auch mit einer bestimmten Gültigkeitsdauer versehen. Den Inhalt des Cache kann man sich per Windows PowerShell oder auch mit der Eingabeaufforderung (Cmd) anzeigen lassen!

Per Eingabeaufforderung (cmd)

Ipconfig /displaydns

Per Windows PowerShell

Get-DnsClientCache

Neben dem Cache wird zusätzlich auch die lokale Datei hosts geprüft. Diese befindet sich im Verzeichnis: c:\Windows\System32\drivers\etc. Erst, wenn dort der Name auch nicht gefunden wird, stellt der Client eine Anfrage an den für ihn zuständigen DNS-Server.

Wo genauer gesagt, wie diese Eintragungen vorgenommen werden können, könnt ihr dem Artikel: Windows für das Netzwerk konfigurieren, entnehmen.

Die Manipulation bzw. der Hack liegt jetzt genau darin, dass man die lokale Hosts-Datei verändert. Wenn dort für einen bestimmten Namen eine spezielle IP-Adresse eingetragen wird, so wird immer genau auf diese Seite verwiesen. Natürlich könnte, dass jetzt eine Seite mit Schadecode sein.

DNS Manipulation: Verändern der Windows hosts Datei
DNS Manipulation: Verändern der Windows hosts Datei

Wie jetzt dem obigen Szenario zu entnehmen, möchte der PC auf die Internetseite it-learner.de zugreifen. Hierbei sieht er nach dem Namen im DNS-Cache und anschließend in der Hosts Datei nach.

Dort steht zu it-learner.de die IP-Adresse 172.16.1.2, welche natürlich nicht die richtige Adresse ist. Wenn also jetzt der Windows Client nach dem Namen it-learner durch das Eintippen in den Browser fragt, so bekommt er etwas anderes angezeigt. In meinem Beispiel liegt hinter dieser IP-Adresse ein Linux Webserver, welcher eine spezielle Seite hostet.

Das Prinzip ist, als dass der DNS Record manipuliert wird. Schlimm wird es natürlich dann, wenn sich dieser Eintrag nicht lokal an einem PC oder Server befindet, sondern an einem DNS-Server. Das Prinzip ist das gleiche, nur dass natürlich hier viele PCs anfragen an den Server stellen.

Dieser Artikel beinhaltet Partner-Links. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhält IT-Learner eine kleine Provision. Der Preis ändert sich für euch nicht. Danke für eure Unterstützung! Letzte Aktualisierung am 27.05.2024

1f8d13235ce14e23bd38739a97d6e73f
Der Blogbetreiber und Autor: Markus Elsberger

Über den Autor

Mein Name ist Markus Elsberger und ich beschäftige mich mit der Administration von Windows und Linux Systemen sowie mit diversen Themen bzgl. Netzwerktechnik. In meiner Lehrtätigkeit erstelle ich verschiedene Szenarien und teste auch verschiedene Konfigurationen, welche ich in diesem Blog festhalten möchte.


Kostenlose Befehlsreferenzen und E-Books
(Netzwerkanalyse, Benutzerverwaltung, Festplattenkonfiguration, u. v. m.)


Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

×