So einfach funktioniert prinzipiell die Manipulation einer Internetadresse – Den DNS-Eintrag umleiten

DNS-Hacking durch die Manipulation des Hosts Eintrag am Windows PC

8. Januar 2018 Markus Elsberger Netzwerk, Sicherheit, Windows Kommentare deaktiviert für So einfach funktioniert prinzipiell die Manipulation einer Internetadresse – Den DNS-Eintrag umleiten

So einfach funktioniert prinzipiell ein DNS Hack. Also die Manipulation des Namens bzw. eine Umleitung auf eine andere IP-Adresse. Wenn man zum Beispiel eine Webseite aufruft gibt man in die Adresszeile immer einen Namen anstatt einer IP Adresse ein. Der PC muss aber natürlich diesen Namen übersetzen. Hierfür wird in der Regel der DNS (Domain Name Service) Dienst verwendet. Folgendes Szenario soll die Funktionsweise näher verdeutlichen.

DNS Manipulation - So einfach wird man an eine falsche Adresse geleitet
DNS Manipulation – So einfach wird man an eine falsche Adresse geleitet

Wie funktioniert dies nun genau. Als erstes prüft der PC den DNS-Auflösungscache. Jeder Windows Server oder Client besitzt diesen Cache. Dort werden Namen eingetragen, welche erfolgreich aufgelöst wurden. Diese Namen sind alle auch mit einer bestimmten Gültigkeitsdauer versehen. Den Inhalt des Cache kann man sich per Windows PowerShell oder auch mit der Eingabeaufforderung (Cmd) anzeigen lassen!

Per Eingabeaufforderung (cmd)

Ipconfig /displaydns

Per Windows PowerShell

Get-DnsClientCache

Neben dem Cache wird zusätzlich auch die lokale Datei hosts geprüft. Diese befindet sich im Verzeichnis: c:\Windows\System32\drivers\etc. Erst wenn dort der Name auch nicht gefunden wird, stellt der Client eine Anfrage an den für ihn zuständigen DNS-Server. Wo bzw. wie diese Eintragungen vorgenommen werden können, könnt ihr dem Artikel: Windows für das Netzwerk konfigurieren, entnehmen.

Die Manipulation bzw. der Hack liegt jetzt genau darin, dass man die lokale Hosts Datei verändert. Wenn dort für einen bestimmten Namen eine spezielle IP-Adresse eingetragen wird, so wird immer genau auf diese Seite verwiesen. Natürlich könnte, dass jetzt eine Seite mit Schadecode sein.

DNS Manipulation: Verändern der Windows hosts Datei
DNS Manipulation: Verändern der Windows hosts Datei

Wie jetzt dem obigen Szenario zu entnehmen, möchte der PC auf die Internetseite it-learner.de zugreifen. Hierbei sieht er nach dem Namen im DNS-Cache und anschließend in der Hosts Datei nach. Dort steht zu it-learner.de die IP-Adresse 172.16.1.2, welche natürlich nicht die richtige Adresse ist. Wenn also jetzt der Windows Client nach den Namen it-learner durch das eintippen in den Browser fragt, so bekommt er etwas anderes angezeigt. In meinem Beispiel liegt hinter dieser IP-Adresse ein Linux Webserver, welcher eine spezielle Seite hostet.

Das Prinzip ist als, dass der DNS Record manipuliert wird. Schlimm wird es natürlich dann, wenn sich dieser Eintrag nicht lokal an einem PC oder Server befindet, sondern an einem DNS-Server. Das Prinzip ist das gleiche, nur dass natürlich hier viele PC´s anfragen an den Server stellen.