Ein Angriff, der falsche DNS-Records in den Cache eines Resolvers injiziert und Verkehr zu Server eines Angreifers umleitet. Der Resolver des Opfers serviert dann vergiftete Daten an Clients, ohne zu wissen, dass er kompromittiert wurde.
Funktioniert, weil ältere DNS-Implementierungen die Authentizität der Antwort nicht validierten. Der Angreifer flutet einen Resolver mit gefälschten Antworten in der Hoffnung, dass eine eine ausgehende Anfrage des Resolvers passt. Wenn Timing und Transaction-ID passen, bleibt der gefälschte Record stundenlang oder tagelang im Cache.
Auswirkungen: Benutzer werden auf Phishing-Seiten, Malware-Drops oder Überwachungs-Endpunkte umgeleitet. Deine Domain sieht für das Opfer legitim aus. Ein kompromittierter Resolver kann tausende nachgelagerte Clients auf einmal vergiften.
Verteidigung: DNSSEC signiert Zone-Daten kryptografisch, sodass Resolver unsignierte oder ungültige Antworten ablehnen. Query-Randomisierung (zufällige Source-Ports, Transaction-IDs) macht Spoofing schwerer. Moderne Resolver implementieren normalerweise beides. Aber DNSSEC-Adoption bleibt fleckenweise, und viele Zones bleiben unsigniert.
Relevant, wenn du deinen eigenen rekursiven Resolver betreibst oder einen Anycast-DNS-Service betreibst. Weniger relevant, wenn du deine Domain einfach auf einen Third-Party-Nameserver zeigst – die Sicherheit dieses Providers ist deren Problem (und manchmal nicht großartig).