Cache Poisoning
Artikel erschienen in Swiss IT Magazine 2005/14
Artikel erschienen in Swiss IT Magazine 2005/14
Unter Cache Poisoning (oder DNS Cache Poisoning) versteht man eine Angriffsmethode, die auf dem Austausch der Adressen in den Tabellen des Domain Name Systems (DNS) beruht. Das DNS bildet die Grundlage des World Wide Web, indem es die URL eines Servers
(z.B. www.google.ch) in dessen nicht besonders aussagekräftige IP-Adresse (z.B. 216.239.59.103) übersetzt, die benötigt wird, dass der Server im Netz überhaupt gefunden werden kann. Wird dieser Eintrag verändert, gelangt der Surfer trotz der Eingabe der korrekten URL auf einen gefälschten Server – ein Trick, der jüngst vor allem von Pharmern gerne genutzt wird.
Cache Poisoning lässt sich auf verschiedene Arten durchführen. So ist es etwa möglich, bei Abfragen von Informationen von einem Nameserver zusätzliche gefälschte Daten mitzuliefern, die dann wiederum von diesem Nameserver weiterverteilt werden. Nach einem anderen Ansatz werden Anfragen an einen Nameserver vom Angreifer abgefangen und beantwortet, bevor der echte Nameserver antwortet.
Angriffe dieser Art sind seit Jahren bekannt und beruhen auf einem Fehler in der DNS-Software BIND. In aktuellen Versionen ist das Problem ausgemerzt, gemäss Untersuchungen laufen aber noch immer Server mit veralteten Versionen. Eine Lösung bietet auch der Einsatz von DNSSEC, das mit Signaturen und Zertifikaten arbeitet, aber derzeit noch sehr gering verbreitet ist.
Artikel kommentieren
