Was ist Cache Poisoning?
Cache Poisoning ist eine Angriffsmethode auf das Domain Name System (DNS). Ziel ist die Umlenkung des Datenverkehrs zu einer manipulierten Webseite. Dafür verändert der Angreifer die Zuordnung von Domainnamen und IP-Adressen. In der Folge kann sich ein Besucher der gefakten Webseite Malware einfangen oder Opfer eines Phishing-Angriffs werden. Erfolgt die Datenweiterleitung auf ein nicht erreichbares Ziel, ist so ein Denial-of-Service-Angriff möglich.
Wie funktioniert Cache Poisoning?
Der Angreifer schleust manipulierte Resource Records (RR) in den DNS-Cache eines DNS-Servers ein. Ein Resource Record ist die Informationseinheit im DNS und tritt in komprimierter Form in DNS-Caches auf. Die gefälschten DNS-Einträge werden in legitimen DNS-Antworten versteckt.
Das Vorgehen: Zuerst manipuliert der Angreifer einen Nameserver auf eine Weise, bei der bei Anfragen aus der Domain test.de zur Antwort ein gefälschter Record, wie „eine-seite.de 192.1.2.2“, gehört. Wenn jetzt ein öffentlicher Nameserver eine Anfrage zum Namen test.de an den manipulierten Nameserver stellt, liefert dieser die korrekte IP-Adresse und zusätzlich den gefälschten Record. Übernimmt die anfragende Seite die Resource Records ungeprüft, speichert diese die eingeschleuste IP-Adresse 192.1.2.2 im DNS-Cache ab. Später will ein Anwender den Domainnamen „eine-seite.de“ aufrufen, dafür wird auf den Nameserver mit dem gefälschten Record im Cache zugegriffen und dieser liefert die IP-Adresse des Angreifers zurück. Die Weiterleitung erfolgt nicht auf die zum Domainnamen gehörende IP-Adresse, stattdessen landet das Opfer auf der Webseite des Cyberkriminellen. Heutige Nameserver prüfen die Resource Records vor der Übernahme.