Domain Name Service
Die Kommunikation im Internet basiert allein auf der IP-Adresse, die für das Ziel der Kommunikation steht.
Da Menschen sich solche Adressen schlecht merken können / wollen, wurde ein Service entwickelt, der Namen in IP-Adressen verwandelt.
Also Name rein, IP-Adresse zurück. Das ist die einfache Funktionsweise des Services.
Das DNS-Konzept fügt sich insgesamt in das Thema "Nameservice" ein, siehe hier weiter unten in diesem Artikel
Wer bietet diesen Service an ?
Die Internetserviceprovider (ISP) bieten den Kunden einen oder mehrere DNS-Server zur Benutzung an.
Die ISP bekommen über die Domainverwaltung (also die Organisation die Domains vergibt und verwaltet) eine Information über neue, gelöschte oder geänderte Domainnamen und ordnet diesen IP-Adressen zu.
In der Regel ist eine Änderung innerhalb 24h in allen DNS-Servern der Welt verfügbar.
Muss ich mich selbst um meine DNS-Einstellungen kümmern ?
Um die Einstellung selbst nicht so dringlich, wohl aber darum, dass die Einstellungen nicht ohne weiteres geändert werden können.
Wo besteht das Risiko ?
Wenn sie in der Adresszeile ihres Browsers eine Adresse eintragen, verlassen sie sich darauf, dass sie vom DNS die richtige IP-Adresse des Servers bekommen.
Wenn jemand die DNS-Konfiguration ihres Systems manipuliert hat, geht die DNS-Anfrage zu einem falschen DNS-Server, der ihnen eine falsche IP liefert.
Unter Umständen sieht die "falsche" Webseite genau so aus, wie die Originalseite und sie merken das nicht.
Gibt es Schutzmaßnahmen ?
Die wichtigsteSchutzmaßnahme ist, dass man nicht mit Adminrechten arbeitet und bei allen Internetaktivitäten auf dem System nur soviele Rechte hat wie nötig.
Schleichen sich Schadprogramme ein, die mit Adminrechten ausgeführt werden, können sie die Netzwerkeinstellungen ändern.
Webseiten mit denen vertrauliche Informationen ausgetauscht werden, sollten nur verschlüsselt aufgerufen werden (https-Protokoll)
Das dabei verwendete SSL-Verschlüsselungsverfahren beruht darauf, dass die Echtheit des von der Domain verwendeteten Zertifikats von einer übergeordneten Einheit bestätigt wird.
Hier sind also nicht IP-Adressen im Spiel, sondern Domainnamen. Und der "falsche" Server wird im Normalfall kein vertrauenswürdiges Zertifikat besitzen, es sei denn, er hätte das beim Besitzer entwendet.
Zusätzlich fällt die Manipulation auf, wenn man die Seite bereits vorher mal besucht hatte. In dem Fall merkt der Browser, dass sich das Zertifikat seit dem letzten Besuch geändert hat.