So einfach funktioniert prinzipiell ein DNS Manipulation. Also die Manipulation des Namens bzw. eine Umleitung auf eine andere IP-Adresse. Wenn man unter anderem eine Webseite aufruft, gibt man in die Adresszeile immer einen Namen anstatt einer IP-Adresse ein.
Der PC muss aber natürlich diesen Namen übersetzen. Hierfür wird in der Regel der DNS (Domain Name Service) Dienst verwendet. Folgendes Szenario soll die Funktionsweise näher verdeutlichen.

Wie funktioniert dies nun genau. Als Erstes prüft der PC den DNS-Auflösungscache. Jeder Windows Server oder Client besitzt diesen Cache. Dort werden Namen eingetragen, welche erfolgreich aufgelöst wurden.
Diese Namen sind alle auch mit einer bestimmten Gültigkeitsdauer versehen. Den Inhalt des Cache kann man sich per Windows PowerShell oder auch mit der Eingabeaufforderung (Cmd) anzeigen lassen!
Per Eingabeaufforderung (cmd)
Ipconfig /displaydns
Per Windows PowerShell
Get-DnsClientCache
Neben dem Cache wird zusätzlich auch die lokale Datei hosts geprüft. Diese befindet sich im Verzeichnis: c:\Windows\System32\drivers\etc. Erst, wenn dort der Name auch nicht gefunden wird, stellt der Client eine Anfrage an den für ihn zuständigen DNS-Server.
Wo genauer gesagt, wie diese Eintragungen vorgenommen werden können, könnt ihr dem Artikel: Windows für das Netzwerk konfigurieren, entnehmen.
Die Manipulation bzw. der Hack liegt jetzt genau darin, dass man die lokale Hosts-Datei verändert. Wenn dort für einen bestimmten Namen eine spezielle IP-Adresse eingetragen wird, so wird immer genau auf diese Seite verwiesen. Natürlich könnte, dass jetzt eine Seite mit Schadecode sein.

Wie jetzt dem obigen Szenario zu entnehmen, möchte der PC auf die Internetseite it-learner.de zugreifen. Hierbei sieht er nach dem Namen im DNS-Cache und anschließend in der Hosts Datei nach.
Dort steht zu it-learner.de die IP-Adresse 172.16.1.2, welche natürlich nicht die richtige Adresse ist. Wenn also jetzt der Windows Client nach dem Namen it-learner durch das Eintippen in den Browser fragt, so bekommt er etwas anderes angezeigt. In meinem Beispiel liegt hinter dieser IP-Adresse ein Linux Webserver, welcher eine spezielle Seite hostet.
Das Prinzip ist, als dass der DNS Record manipuliert wird. Schlimm wird es natürlich dann, wenn sich dieser Eintrag nicht lokal an einem PC oder Server befindet, sondern an einem DNS-Server. Das Prinzip ist das gleiche, nur dass natürlich hier viele PCs anfragen an den Server stellen.
# | Vorschau | Produkt | Preis | |
---|---|---|---|---|
1 |
|
IT-Sicherheit: Konzepte – Verfahren – Protokolle (De Gruyter Studium) |
84,95 EUR |
Mehr Informationen |
2 |
|
Kaspersky Internet Security 2023 | 3 Geräte | 1 Jahr | PC/Mac/Mobile | Aktivierungscode per Email | 59,95 EUR 25,99 EUR | Mehr Informationen |
3 |
|
Norton 360 Standard 2023 | 1 Gerät | Antivirus | Unlimited Secure VPN & Passwort-Manager | 1 Jahr |… | 27,99 EUR 16,99 EUR | Mehr Informationen |
Dieser Artikel beinhaltet Partner-Links. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhält IT-Learner eine kleine Provision. Der Preis ändert sich für euch nicht. Danke für eure Unterstützung! Letzte Aktualisierung am 28.09.2023
Steigere dein Wissen
Kostenlose Befehlsreferenzen und E-Books herunterladen