So einfach funktioniert prinzipiell ein DNS Hack. Also die Manipulation des Namens bzw. eine Umleitung auf eine andere IP-Adresse. Wenn man zum Beispiel eine Webseite aufruft gibt man in die Adresszeile immer einen Namen anstatt einer IP Adresse ein. Der PC muss aber natürlich diesen Namen übersetzen. Hierfür wird in der Regel der DNS (Domain Name Service) Dienst verwendet. Folgendes Szenario soll die Funktionsweise näher verdeutlichen.

Wie funktioniert dies nun genau. Als erstes prüft der PC den DNS-Auflösungscache. Jeder Windows Server oder Client besitzt diesen Cache. Dort werden Namen eingetragen, welche erfolgreich aufgelöst wurden. Diese Namen sind alle auch mit einer bestimmten Gültigkeitsdauer versehen. Den Inhalt des Cache kann man sich per Windows PowerShell oder auch mit der Eingabeaufforderung (Cmd) anzeigen lassen!
Per Eingabeaufforderung (cmd)
Ipconfig /displaydns
Per Windows PowerShell
Get-DnsClientCache
Neben dem Cache wird zusätzlich auch die lokale Datei hosts geprüft. Diese befindet sich im Verzeichnis: c:\Windows\System32\drivers\etc. Erst wenn dort der Name auch nicht gefunden wird, stellt der Client eine Anfrage an den für ihn zuständigen DNS-Server. Wo bzw. wie diese Eintragungen vorgenommen werden können, könnt ihr dem Artikel: Windows für das Netzwerk konfigurieren, entnehmen.
Die Manipulation bzw. der Hack liegt jetzt genau darin, dass man die lokale Hosts Datei verändert. Wenn dort für einen bestimmten Namen eine spezielle IP-Adresse eingetragen wird, so wird immer genau auf diese Seite verwiesen. Natürlich könnte, dass jetzt eine Seite mit Schadecode sein.

Wie jetzt dem obigen Szenario zu entnehmen, möchte der PC auf die Internetseite it-learner.de zugreifen. Hierbei sieht er nach dem Namen im DNS-Cache und anschließend in der Hosts Datei nach. Dort steht zu it-learner.de die IP-Adresse 172.16.1.2, welche natürlich nicht die richtige Adresse ist. Wenn also jetzt der Windows Client nach den Namen it-learner durch das eintippen in den Browser fragt, so bekommt er etwas anderes angezeigt. In meinem Beispiel liegt hinter dieser IP-Adresse ein Linux Webserver, welcher eine spezielle Seite hostet.
Das Prinzip ist als, dass der DNS Record manipuliert wird. Schlimm wird es natürlich dann, wenn sich dieser Eintrag nicht lokal an einem PC oder Server befindet, sondern an einem DNS-Server. Das Prinzip ist das gleiche, nur dass natürlich hier viele PC´s anfragen an den Server stellen.