Erkennung von IT-Risiken - DNS-Poisoning: Umleitung auf eine fremde Website erkennen
Allgemeines
DNS Poisoning wird auch als DNS Cache Poisoning oder Pharming bezeichnet. Bei Verbindungen über das Internet werden DNS-Server (Domain Name System -Server) eingesetzt, um den z.B. im Internet-Browser eingegebenen Domains (URL bzw. Name der Website) die dazugehörenden IP-Adressen zuzuordnen.
Nach der Eingabe einer URL wird diese vom nächstgelegenen DNS-Server in eine IP-Adresse umgesetzt, sofern diese auf dem Server bekannt ist. Anderenfalls wird die Anfrage an einen anderen DNS-Server weitergeleitet. Die übergeordneten DNS-Server beliefern dabei die nachrangigen DNS-Server mit den Wertepaaren URL - dazugehörende IP-Adresse. Als DNS-Poisoning wird das Verändern der IP-Adressen im Cache der nachrangigen DNS-Server bezeichnet. Einer URL wird dabei eine IP-Adresse zugeordnet, die zur Website des Angreifers und nicht zur Website des URL-Besitzers gehört.
externe Links
http://www.viruslist.com/de/glossary?glossid=188781168Beispiel-Anzeigen
Ausschnitt aus der LOG-Datei einer Firewall (die IP-Adressen wurden unkenntlich gemacht):