Was ist DNS-Spoofing und wie lässt es sich verhindern?

Das Domain Name System (DNS) wird oft als das „Telefonbuch“ des Internets bezeichnet. Es übersetzt numerische IP-Adressen in menschenlesbare Domains und ermöglicht so den Zugang zu Websites, Apps und Diensten, ohne dass lange Zahlenfolgen auswendig gelernt werden müssen.

Das System, das Anfang der 1980er-Jahre im Rahmen eines universitären Forschungsprojekts entwickelt wurde, sollte in erster Linie ein praktisches Namensproblem in einem wachsenden akademischen Netzwerk lösen. Sicherheitsaspekte waren damals nicht Teil des ursprünglichen Designs, weshalb das DNS bis heute anfällig für Manipulationen ist. Zwar wurden im Laufe der Zeit mehrere Sicherheitsprotokolle eingeführt – etwa DNSSEC für Datenintegrität sowie „DNS over HTTPS“ (DoH) und „DNS over TLS“ (DoT) für die Transportverschlüsselung –, trotzdem bleibt das System durch Fehlkonfigurationen, unvollständige Implementierungen und gezielte Angriffe verwundbar.

Für Domain-Expert:innen, Hosting-Provider und Administrator:innen ist die Botschaft eindeutig: DNS-Spoofing-Angriffe können Dienste unterbrechen, Zugangsdaten abgreifen und sogar den Weg für gefälschte TLS-Zertifikate oder Phishing-Websites ebnen, die vertrauenswürdige Marken imitieren. Zu wissen, wie es funktioniert und wie man DNS-Spoofing verhindert, ist daher zu einer unverzichtbaren Kompetenz im DNS-Management geworden.

Was ist DNS-Spoofing?

DNS-Spoofing ist ein Angriff, bei dem falsche DNS-Daten in den Auflösungsprozess eingeschleust werden. Anstatt mit der richtigen IP-Adresse verbunden zu werden, gelangen Nutzer:innen auf einen Server, der von angreifenden Personen kontrolliert wird.

Diese Art der Manipulation ist möglich, weil DNS-Abfragen in der Regel über das User Datagram Protocol (UDP) laufen. Dieses ist leichtgewichtig und effizient, bietet jedoch keine Authentifizierung. Zwar nutzt DNS für größere Antworten und Zonentransfers auch das Transmission Control Protocol (TCP) – doch beide Transportwege lassen sich auf unterschiedliche Weise angreifen. Ohne geeignete Schutzmaßnahmen können gefälschte Antworten weiterhin akzeptiert werden, als wären sie legitim.

Gängige Formen von DNS-Spoofing-Angriffen

Im Laufe der Zeit haben Kriminelle verschiedene Methoden entwickelt, um Schwachstellen im DNS auszunutzen. Zu den häufigsten Formen von DNS-Spoofing gehören:

• Cache Poisoning: Eine gefälschte Antwort wird von einem Resolver akzeptiert und zwischengespeichert. Jede nachfolgende Nutzeranfrage wird umgeleitet, bis der Cache-Eintrag abläuft.
• On-Path-Tampering (MITM): Angreifer:innen mit Netzwerkzugriff fangen DNS-Anfragen ab und verändern die Antworten, bevor sie den Client erreichen.
• DNS-Hijacking durch Konfigurationsänderungen: Kompromittierte Router, Endgeräte oder Resolver werden so umkonfiguriert, dass sie einen manipulierten DNS-Server verwenden – oft über Malware oder schwache Administrator:innen-Zugangsdaten.
• Registrar- oder Zonenübernahme: Durch den Zugriff auf ein Konto bei einem Registrar oder DNS-Provider können Angreifer:innen autoritative Einträge direkt verändern.

Wie ein klassischer Cache-Poisoning-Angriff abläuft

Eines der bekanntesten Beispiele für DNS-Spoofing ist der Kaminsky-Angriff, der im Juli 2008 öffentlich bekannt wurde. Er verdeutlicht, wie praktikabel Cache-Poisoning zum damaligen Zeitpunkt war:

1Die angreifende Person veranlasste einen Resolver dazu, eine Vielzahl von nichtexistierenden Subdomains abzufragen (z. B. random123.example.com, random124.example.com) und erzeugte so mehrere offene Anfragen.

2Der Resolver leitete die Anfragen an den autoritativen Server weiter.

3Während der Resolver wartete, überflutete der Angreifende ihn mit gefälschten Antworten, die jeweils unterschiedliche Transaktions-IDs enthielten. Durch Ausnutzung des Geburtstagsparadoxons erhöhte der Angreifende die Wahrscheinlichkeit einer Kollision

4Traf eine gefälschte Antwort zuerst ein und stimmten die erwartete Transaktions-ID und der Quell-Port überein, akzeptierte der Resolver die Antwort und speicherte die bösartigen Daten im Cache.

5Fortan wurden Nutzer:innen, die die betroffene Domain abfragten, umgeleitet, bis der Cache-Eintrag ablief oder gelöscht wurde.

Der Angriff funktionierte wegen der geringen Entropie. Die Transaktions-ID war nur 16 Bit lang, also nur 65.536 Möglichkeiten, und viele Resolver verwendeten vorhersehbare Quell-Ports.

Der Kaminsky-Exploit in Kürze

1Viele nichtexistierende Subdomains abfragen.

2Den Resolver mit gefälschten Antworten überfluten.

3Wahrscheinlichkeit ausnutzen, die richtige Transaktions-ID und den Quell-Port zu erraten.

4Den Cache mit einem bösartigen Eintrag vergiften.

5Nutzer:innen umleiten, bis der Cache gelöscht wird oder abläuft.

Heute setzen Resolver zusätzliche Abwehrmaßnahmen ein, um DNS-Spoofing zu verhindern. Dazu gehören Source-Port-Randomisierung (hinzugefügte ~16 Bit Entropie), 0x20-Case-Randomisierung (zufällige Variation der Groß-/Kleinschreibung von Buchstaben im Abfragenamen, sodass Antworten genau übereinstimmen müssen) sowie Query-Minimierung gemäß RFC 7816, das die Informationsweitergabe an Upstream-Server reduziert. Google Public DNS hat 0x20-Case-Randomisierung seit 2022 global standardmäßig aktiviert und damit über 90 % seines UDP-Traffics abgedeckt, was das Risiko von Cache-Poisoning deutlich senkt. Zusammen machen diese Maßnahmen Off-Path-Spoofing deutlich schwerer realisierbar.

DNS-Spoofing vs. Cache-Poisoning

Die Begriffe DNS-Spoofing-Angriffe und Cache-Poisoning werden oft synonym verwendet, sind jedoch nicht identisch:

• DNS-Spoofing-Angriffe bezeichnen allgemein das Fälschen von DNS-Antworten, sei es durch IP-Spoofing oder On-Path-Manipulation.
• Cache-Poisoning beschreibt speziell das Einschleusen gefälschter Einträge in den Cache eines Resolvers.

Beide Methoden führen zum gleichen Ergebnis – Anfragen werden zu bösartigen Zielen umgeleitet –, unterscheiden sich jedoch leicht in der Vorgehensweise.

Welche Folgen hat DNS-Spoofing?

DNS-Spoofing verursacht schwerwiegende Probleme für Organisationen und Nutzer:innen. Sobald Angreifer:innen den Datenverkehr umleiten, können sie erheblichen Schaden anrichten:

Phishing und Datendiebstahl: Nutzer:innen werden auf gefälschte Versionen legitimer Login-Seiten umgeleitet, die täuschend echt wirken. Häufige Ziele sind Banking-Seiten, Unternehmens-VPNs und Cloud-Dienste. Geben Nutzer:innen dort ihre Zugangsdaten ein, gelangen Benutzernamen, Passwörter und MFA-Codes direkt in die Hände der Kriminellen. Diese gestohlenen Daten werden für unbefugte Zugriffe, Kontoübernahmen oder im Untergrundhandel genutzt.

• Malware-Verbreitung: Gefälschte Domains liefern schädliche Software aus, die als legitime Downloads, Softwareupdates oder Browser-Plugins getarnt ist. Nutzer:innen, die glauben, echte Anwendungen herunterzuladen, erhalten stattdessen Trojaner, Ransomware oder Krypto-Miner. Diese Methode ist besonders effektiv, da die Schadsoftware scheinbar aus vertrauenswürdiger Quelle stammt.
• Man-in-the-Middle-Angriffe: DNS-Spoofing ermöglicht es Angreifern, den gesamten Datenverkehr abzufangen. Sie positionieren sich zwischen Nutzer:innen und legitimen Diensten und erfassen sensible Daten wie API-Keys, Session-Tokens oder geschäftskritische Informationen. Besonders gefährdet sind E-Mail-Verkehr und APIs, was häufig zu umfassenden Dienstausfällen führt.
• Datenlecks und finanzielle Verluste: Angreifende können Datenbanken, Kundendaten und Zahlungsinformationen offenlegen. Die Folgen: regulatorische Strafen, rechtliche Haftung und direkter finanzieller Schaden. Hinzu kommen Kosten für forensische Analysen, Systemwiederherstellung, Kundenbenachrichtigung und Kreditüberwachungsdienste.
• Reputationsschäden: Werden Kund:innen auf manipulierte Weiterleitungen oder gefälschte Versionen vertrauenswürdiger Websites geleitet, sinkt das Vertrauen sofort. Der Imageschaden hält oft lange nach der technischen Behebung an und beeinträchtigt Kundenbindung, Partnerbeziehungen und den Unternehmenswert. In sozialen Medien verstärken sich die negativen Auswirkungen durch geteilte Erfahrungen.
• Dienstunterbrechungen: DNS-Spoofing kann Kettenreaktionen auslösen, die über den eigentlichen Angriff hinausgehen. Manipulierte DNS-Einträge für E-Mails stören die Zustellung und beeinträchtigen Geschäftsabläufe sowie automatisierte Systeme. APIs und Microservices, die DNS für die Serviceerkennung benötigen, können komplett ausfallen, was komplexe Anwendungen lahmlegt und betriebliche Probleme verursacht.

Wie lässt sich das Risiko von DNS-Spoofing verringern?

Es gibt keine einfache Lösung, die DNS-Spoofing vollständig ausschaltet. Die gute Nachricht: Mehrschichtige Sicherheitsmaßnahmen können das Risiko erheblich senken und den Schaden begrenzen, falls ein Angriff doch erfolgreich ist.

Für Domaininhaber:innen und Administrator:innen:

• DNSSEC aktivieren: Die wichtigste Maßnahme gegen DNS-Spoofing ist DNSSEC. DNSSEC funktioniert wie eine digitale Signatur für Ihre DNS-Einträge. Mit kryptografischen Signaturen können Resolver prüfen, ob Antworten echt sind. Der Haken: Die weltweite Einführung stockt. Laut Global Domain Report 2025 liegt die Gesamtverbreitung bei ccTLD-Domains nur bei rund 13 %. Vorreiter sind die nordischen Länder – Dänemark (.dk), Schweden (.se) und Norwegen (.no) – mit beeindruckenden Raten zwischen 65 und 76 %. DNSSEC ist die stärkste Verteidigung gegen Cache-Poisoning, hilft jedoch nicht, wenn Ihr Registrar-Konto kompromittiert oder Ihr Resolver übernommen wird.
• Registrar- und DNS-Provider-Konten absichern: Diese Konten sind ein zentrales Angriffsziel. Nutzen Sie Multi-Faktor-Authentifizierung mit Hardware-Tokens oder Authenticator-Apps. Aktivieren Sie Registry Locks (auch Client Locks oder Transfer Locks genannt), um unbefugte Domain-Transfers zu verhindern. Arbeiten Sie mit rollenbasiertem Zugriff, damit nur befugte Personen Änderungen an DNS-Einträgen vornehmen können, und richten Sie Benachrichtigungen für Änderungen an kritischen Records ein. Prüfen Sie Zugriffsprotokolle monatlich und führen Sie eine aktuelle Liste der Zugriffsberechtigten.
• Resolver absichern: Ziel ist es, DNS-Spoofing mathematisch praktisch unmöglich zu machen. Nutzen Sie Quell-Port-Randomisierung über den gesamten Bereich von 65.536 Ports, kombiniert mit zufälligen Transaktions-IDs – so entsteht maximale Unvorhersehbarkeit. Aktivieren Sie die sogenannte 0x20-Case-Randomisierung, bei der die Groß-/Kleinschreibung der Buchstaben im Abfragenamen zufällig variiert wird. Antworten müssen exakt übereinstimmen, wodurch sich der Schutz verdoppelt. Schalten Sie offene Rekursion ab, um Missbrauch Ihrer Resolver für DNS-Amplification-Angriffe zu verhindern. Moderne Resolver unterstützen zudem DNS-Cookies, die zusätzliche Sicherheitstoken in Anfragen und Antworten einfügen und so Spoofing aus der Ferne erschweren.
• Updates und Transfers absichern: Sichern Sie Zonentransfers mit Access Control Lists (ACLs) ab, um genau festzulegen, welche Server Zonenanfragen stellen dürfen. Verwenden Sie TSIG-Authentifizierung (Transaction Signature) oder TLS-Verschlüsselung (Transport Layer Security) für Transferprotokolle. Authentifizieren Sie dynamische DNS-Updates mit TSIG-Schlüsseln oder GSS-TSIG. Deaktivieren Sie ungenutzte Dienste und kontrollieren Sie streng, wer Zonentransfers oder Updates starten darf.
• Kontinuierlich überwachen: Setzen Sie passives DNS-Monitoring ein, um die Auflösung Ihrer Domains weltweit aus verschiedenen Standorten zu beobachten. Nutzen Sie geografisch verteilte Monitoring-Punkte, um Unstimmigkeiten in DNS-Antworten schnell zu erkennen. Richten Sie automatische Alarme für unerwartete Änderungen an kritischen Records wie A/AAAA, NS und MX ein. Wählen Sie die Time-to-Live (TTL)-Werte mit Bedacht: Längere TTLs erhöhen die Stabilität, kürzere (300–3.600 Sekunden) begrenzen die Dauer erfolgreicher Cache-Poisoning-Angriffe. Überwachen Sie zudem Certificate-Transparency-Logs, um unautorisierte TLS-Zertifikate zu erkennen, die auf ein laufendes DNS-Hijacking hindeuten könnten.

Für Netzwerke und Nutzer:innen:

• Resolver mit DNSSEC-Validierung und verschlüsseltem DNS wählen: Verwenden Sie Resolver, die sowohl DNSSEC-Signaturen validieren als auch verschlüsselte Transportprotokolle unterstützen. DNSSEC-Validierung bestätigt die Echtheit der Antworten, während „DNS over TLS“- oder „DNS over HTTPS“-Verbindungen Angriffe auf Transportebene verhindern. Beachten Sie jedoch: Verschlüsselung allein schützt nicht vor Cache-Poisoning auf dem Resolver selbst.
• Zertifikatswarnungen niemals ignorieren: Bei DNS-Spoofing treten häufig TLS-Zertifikatsprobleme auf – etwa Fehlanpassungen, ungültige oder selbstsignierte Zertifikate. Der Grund: Angreifende können in der Regel keine gültigen Zertifikate für fremde Domains erhalten. Schulen Sie Nutzer:innen darin, Browserwarnungen ernst zu nehmen, und setzen Sie, wo möglich, Certificate Pinning für kritische Anwendungen ein.
• DNS-Verkehr kontrollieren: Konfigurieren Sie Ihre Netzwerkinfrastruktur so, dass unautorisierter DNS-Verkehr blockiert wird. Sperren Sie ausgehenden Traffic auf UDP-Port 53, außer zu Ihren autorisierten Resolvern – so zwingen Sie alle Anfragen durch Ihre kontrollierte Infrastruktur. Implementieren Sie Ingress- und Egress-Filter, um IP-Spoofing von Ihrem Netzwerk aus zu verhindern. Halten Sie Router- und Endgeräte-Konfigurationen durch regelmäßige Firmware-Updates und starke Admin-Passwörter sicher. Ziehen Sie den Einsatz von DNS-Filterlösungen in Betracht, die bekannte bösartige Domains bereits an der Netzwerkgrenze blockieren.

Schnell-Checks

Regelmäßige Überprüfungen tragen dazu bei, dass das DNS stabil bleibt und Manipulationen erkannt werden:

• Domain-Abfrage mit DNSSEC: Führen Sie dig +dnssec yourdomain.tld aus und prüfen Sie, ob im Antwort-Header das AD-Flag (Authenticated Data) erscheint.
• Kritische DNS-Records regelmäßig prüfen: Fragen Sie Ihre wichtigsten DNS-Einträge regelmäßig über mehrere öffentliche Resolver ab und vergleichen Sie die Antworten. Abweichungen können auf Cache-Poisoning, Konfigurationsfehler oder laufende Angriffe hinweisen. Automatisierte Tools können diese Checks kontinuierlich durchführen und bei Auffälligkeiten alarmieren.
• Zugriffsprotokolle von Registrar- und DNS-Provider-Konten überprüfen: Kontrollieren Sie alle Zugriffs-Logs monatlich, aktivieren Sie Echtzeit-Benachrichtigungen bei Änderungen und führen Sie ein Audit-Trail aller DNS-Modifikationen. Für kritische DNS-Änderungen empfiehlt sich zudem ein Genehmigungs-Workflow.

Wie entwickeln sich DNS-Spoofing-Techniken weiter?

Der Kaminsky-Exploit von 2008 war ein Weckruf, der zur breiten Einführung von Quell-Port- und Transaktions-ID-Randomisierung führte. Doch Angreifer:innen sind nicht untätig geblieben – sie haben kontinuierlich neue Methoden entwickelt, um diese Schutzmechanismen zu umgehen.

• SAD DNS (Side-channel AttackeD DNS, 2020): Dieser Angriff hat aufgezeigt, dass Cache-Poisoning trotz moderner Abwehrmaßnahmen noch möglich ist. SAD DNS nutzte subtile Informationslecks in Linux-Netzwerk-Stacks aus, um die Quell-Port-Nummern von DNS-Resolvern zu ermitteln. Durch speziell präparierte ICMP-Fehlermeldungen und die Analyse der Antworten konnten Angreifer:innen den möglichen Portbereich eingrenzen und so Brute-Force-Angriffe wieder praktikabel machen. Zum Zeitpunkt der Veröffentlichung waren etwa 35 % der offenen DNS-Resolver und 85 % der populären öffentlichen DNS-Dienste verwundbar. Die Ergebnisse wurden auf der ACM CCS 2020 präsentiert und führten zu schnellen Patches durch große DNS-Anbieter.
• DNSpooq (2021): Hierbei handelte es sich um eine Sammlung von sieben Schwachstellen in dnsmasq, einem leichtgewichtigen DNS-Forwarder, der in Millionen von Routern und IoT-Geräten integriert ist. Die Sicherheitslücken ermöglichten sowohl Cache-Poisoning als auch Remote-Codeausführung. Da dnsmasq in so vielen Consumer- und Enterprise-Geräten verbaut ist, gestaltete sich das Patchen schwierig – zahlreiche Systeme blieben monatelang anfällig.
• NAT Slipstreaming v2.0 (2021): Zwar keine reine DNS-Schwachstelle, aber ein Beispiel dafür, wie DNS-Spoofing mit anderen Protokollschwachstellen kombiniert werden kann. Angreifer:innen konnten NAT- und Firewall-Schutzmechanismen umgehen, indem sie DNS-Antworten manipulierten. Das verdeutlichte, dass DNS-Manipulation als Grundlage für komplexere, mehrstufige Angriffe dienen kann.

Diese Entwicklungen zeigen deutlich: DNS-Sicherheit ist kein „einmal einrichten und vergessen“-Thema. Fundamentale Schutzmaßnahmen wie DNSSEC und gehärtete Resolver bleiben essenziell, um DNS-Spoofing zu verhindern. Ebenso wichtig sind mehrschichtige Sicherheitsstrategien, aktuelle Bedrohungsinformationen und regelmäßige Prüfungen der eigenen DNS-Infrastruktur gegen neue Angriffsmethoden.

Die häufigsten DNS-Attacks

Das Domain Name System (DNS) ist für das heutige Internet unverzichtbar. Es wandelt für Menschen…

Public-Key-Encryption | Was bringt die Zukunft?

Mit der rasanten Entwicklung der Technologie müssen auch die Strategien zum Schutz sensibler Informationen angepasst…

Das müssen Sie über DNSSEC wissen

Wenn das Internet über eine kritische Infrastruktur verfügt, ist es definitiv das Domain Name System…

Domain Hijacking | Was tun, wenn’s passiert?

Nehmen wir Sarah als Beispiel: eine Modedesignerin aus Berlin macht ihre Erfahrungen mit Domain-Hijacking. Als…

Domain Shadowing | Vorbeugen, bekämpfen, schützen

Domain Shadowing verbreitet sich immer mehr und sollte nicht unterschätzt werden. Bei einem Webscan, der…

DNS-Sicherheit für die Zukunft stärken

DNS steht im Zentrum der Funktionsweise des Internets. Doch sein Design aus den 1980er-Jahren macht es bis heute zu einem attraktiven Angriffsziel. DNS-Spoofing und Cache-Poisoning sind zwar nicht so oft in den Schlagzeilen wie große Datenlecks, aber wenn sie erfolgreich sind, können die Folgen verheerend sein – von Dienstunterbrechungen über die Offenlegung sensibler Daten bis hin zum Vertrauensverlust, der die Grundlage für den digitalen Handel bildet.

Der Schutz vor diesen Bedrohungen erfordert einen umfassenden, mehrschichtigen Ansatz, der weit über einzelne Maßnahmen hinausgeht. DNSSEC bietet den stärksten kryptografischen Schutz gegen gefälschte Antworten, doch die Verbreitung bleibt – abgesehen von Vorreiterregionen wie den nordischen Ländern – frustrierend gering. Auch die Härtung von Resolvern durch Randomisierungstechniken, die Nutzung verschlüsselter Transportprotokolle wie DoT und DoH sowie die Absicherung von Registrar-Konten erhöhen die Hürden für Angreifer:innen. Ebenso entscheidend ist die kontinuierliche Überwachung, mit der Probleme schnell erkannt und so Dauer und Ausmaß erfolgreicher DNS-Spoofing-Angriffe begrenzt werden können.

Die Botschaft an Domain-Betreiber und Hosting-Provider ist klar: Überprüfen Sie Ihre DNS-Infrastruktur regelmäßig, aktivieren Sie DNSSEC, wo es technisch und operativ sinnvoll ist, und arbeiten Sie mit modernen Resolvern, die die neuesten Schutzmechanismen implementieren – darunter Quell-Port-Randomisierung, 0x20-Encoding und DNS-Cookies. Diese Schritte schützen nicht nur die eigene Organisation und deren Kund:innen, sondern tragen auch zum allgemeinen Vertrauen in das Internet als sichere Plattform für Kommunikation und Handel bei.

Mit der zunehmenden Komplexität von DNS-Angriffen und der wachsenden Abhängigkeit unserer digitalen Wirtschaft von zuverlässiger Namensauflösung wird eine proaktive Verteidigung von einem technischen „Nice to have“ zu einer geschäftskritischen Notwendigkeit.

MEHR ZUM THEMA DOMAIN-SICHERHEIT

Besuchen Sie das InterNetX Domain Security Information Center, um weitere Einblicke in die Domain-Sicherheit und aktuelle Trends zu erhalten.