DNS-Blocking: Phishing verhindern und Sicherheit im Netz erhöhen
DNS-Blocking sperrt unerwünschte Domains auf Ebene der Namensauflösung, bevor eine Verbindung aufgebaut wird. Dieser Artikel erklärt Funktionsweise, Einsatzszenarien wie Phishing-Schutz und Malware-Prävention, Tools wie Pi-hole und Quad9 sowie die Grenzen des Verfahrens.
Inhaltsverzeichnis (6 Abschnitte)
Kurzerklärung: DNS Rebinding ist ein Angriff der die Same-Origin-Policy (SOP) des Browsers umgeht indem der DNS-Eintrag einer Angreifer-Domain kurzzeitig auf interne IP-Adressen umgeleitet wird. Browser denken sie kommunizieren mit der externen Angreifer-Domain, greifen aber auf interne Dienste zu (Router, Kameras, IoT, localhost). Angriffe ermöglichen das Lesen interner Ressourcen, CSRF gegen interne Dienste und Cloud-Metadata-Zugriff. Schutz: DNS-Rebinding-Filter in Routern, Private-IP-Blockierung in Browsern, Authentifizierung auf internen Diensten.
DNS-Blocking bezeichnet den Mechanismus, bei dem Anfragen zur Auflösung bestimmter Domainnamen absichtlich blockiert oder umgeleitet werden, um den Zugriff auf unerwünschte oder schädliche Webseiten zu verhindern. Da der DNS-Dienst der erste Schritt bei nahezu jeder Internetverbindung ist, lässt sich auf dieser Ebene eine breite und effiziente Schutzschicht aufbauen, ohne den Datenverkehr selbst zu inspizieren.
Grundlagen: DNS-Auflösung und wo Blocking ansetzt
Das Domain Name System (DNS) ist das Telefonbuch des Internets. Wenn ein Nutzer eine URL wie beispiel.de in den Browser eingibt, fragt das Gerät beim konfigurierten DNS-Resolver an, welche IP-Adresse zu dieser Domain gehört. DNS-Blocking greift genau in diesem ersten Schritt ein: Statt der IP-Adresse antwortet der blockierende Resolver mit einer Fehlermeldung oder Sperrseite, sodass keine Verbindung aufgebaut wird.
Der Vorteil gegenüber IP-Blocking ist erheblich: Domains wechseln häufig ihre IP-Adressen, eine Domain kann auf Hunderte von IP-Adressen zeigen (CDN), und IP-Blocking skaliert schlecht. DNS-Blocking arbeitet auf Netzwerkebene und wirkt gleichzeitig für alle Protokolle und Anwendungen - nicht nur für Browser, sondern auch für E-Mail-Clients, Apps und Hintergrundprozesse.
Technische Umsetzungsformen
NXDOMAIN-Antwort
Der einfachste Ansatz: Der blockierende DNS-Resolver antwortet auf Anfragen für gesperrte Domains mit dem NXDOMAIN-Fehlercode (Non-Existent Domain). Das signalisiert dem Client, dass die Domain nicht existiert, und der Client versucht keine Verbindung aufzubauen.
Sinkholing
Beim DNS-Sinkholing wird eine gesperrte Domain nicht mit NXDOMAIN beantwortet, sondern auf eine kontrollierte IP-Adresse umgeleitet - den Sinkhole-Server. Malware, die eine bekannte C2-Domain aufzulösen versucht, verbindet sich dann mit dem Sinkhole statt mit dem echten Command-and-Control-Server. Der Sinkhole-Server loggt alle Verbindungsversuche, es entsteht kein Schaden, aber infizierte Geräte werden erkannt.
Sinkholing ist besonders wertvoll für die Erkennung bereits kompromittierter Systeme und wird von Security-Operations-Centern (SOC), ISPs und nationalen Sicherheitsbehörden eingesetzt. Wenn ein internes Gerät eine auf der Sperrliste stehende C2-Domain zu erreichen versucht, ist das ein zuverlässiges Indiz für eine Kompromittierung.
Wildcard-Blocking
Bei Wildcard-Blocking wird nicht nur eine exakte Domain gesperrt, sondern alle Subdomains einer gesperrten Hauptdomain. Ist malware.example gesperrt, werden automatisch auch c2.malware.example, download.malware.example und alle anderen Subdomains blockiert.
Response Policy Zones (RPZ)
RPZ ist ein standardisiertes Verfahren, mit dem DNS-Resolver Sperrlisten in Form von DNS-Zonen importieren können. Es ermöglicht das zentrale Management von Sperrlisten auf BIND-, Unbound- oder ähnlichen DNS-Servern und wird von kommerziellen Threat-Intelligence-Anbietern als Feed geliefert.
Einsatzszenarien
Phishing-Schutz
Phishing-Domains werden häufig kurzfristig registriert und nach wenigen Tagen wieder aufgegeben. DNS-Blocking-Dienste mit aktualisierten Phishing-Listen können neuregistrierte oder als verdächtig erkannte Domains innerhalb von Minuten sperren. Der Ablauf: Eine Phishing-Domain wie secure-bank-login.xyz wird registriert, ein Threat-Intelligence-Feed erkennt die Domain anhand von Mustern (Alter, Registrar, Inhalt), die Sperrliste wird aktualisiert, und wenn ein Nutzer auf einen Phishing-Link klickt, antwortet der DNS-Resolver mit NXDOMAIN oder einer Sperrseite - die Phishing-Seite wird nie geladen.
Malware-Prävention und C2-Blocking
Malware kommuniziert nach der Infektion häufig mit Command-and-Control-Servern (C2). DNS-Blocking kann diese Kommunikation unterbrechen: Bekannte C2-Domains werden gesperrt, sodass installierte Malware keine Befehle empfangen kann. Im Sinkhole-Modus werden Verbindungsversuche zu gesperrten Domains gleichzeitig als Infektionsindikator genutzt.
Jugendschutz
DNS-basierter Jugendschutz ist eine der bekanntesten Anwendungen. Öffentliche Dienste wie Quad9, Cloudflare for Families oder CleanBrowsing bieten Filterprofile für jugendgefährdende Inhalte. Der Vorteil gegenüber gerätebasierten Filtern: Eine Änderung des DNS-Servers im Router schützt alle Geräte im Netzwerk gleichzeitig, ohne Software auf jedem Gerät installieren zu müssen.
Werbeblocking
Pi-hole und ähnliche Tools nutzen DNS-Blocking, um Werbeanfragen an bekannte Werbenetzwerk-Domains zu blockieren. Das reduziert nicht nur Werbung, sondern auch Tracking und potenzielle Malvertising-Angriffe.
Tools und Dienste
Pi-hole
Pi-hole ist eine Open-Source-Lösung für selbst gehostetes DNS-Blocking, die typischerweise auf einem Raspberry Pi oder einer virtuellen Maschine betrieben wird. Die Architektur: Router DNS → Pi-hole → Upstream-DNS (z. B. 1.1.1.1). Alle Geräte im Netzwerk nutzen Pi-hole als DNS-Server, der jede Anfrage gegen Sperrlisten prüft. Features umfassen Community-Blocklisten (Firebog, StevenBlack), ein Web-Interface mit Query-Logs und Statistiken, individuelle Allow/Block-Listen, DNSSEC- und DNS-over-HTTPS-Unterstützung sowie Regex-basierte Regeln.
AdGuard Home
AdGuard Home bietet ähnliche Funktionen wie Pi-hole mit einer moderneren Benutzeroberfläche und integrierter Unterstützung für DNS-over-HTTPS und DNS-over-TLS von Haus aus.
Quad9
Quad9 (9.9.9.9) ist ein gemeinnütziger DNS-Resolver, der automatisch bekannte Malware- und Phishing-Domains blockiert. Quad9 ist kostenlos nutzbar, verarbeitet keine personenbezogenen Daten und betreibt Server in Deutschland (DSGVO-konform). Varianten:
| Adresse | Funktion |
|---|---|
| 9.9.9.9 | Mit Blocking (Malware/Phishing-Filter) |
| 9.9.9.10 | Ohne Blocking (nur Datenschutz) |
| 9.9.9.11 | Mit Blocking + EDNS Client Subnet |
| 149.112.112.9 | IPv6-Variante mit Blocking |
Cloudflare Gateway
Cloudflare Gateway ist der DNS-Blocking-Dienst für Unternehmen innerhalb der Cloudflare Zero-Trust-Plattform. Er ermöglicht granulare Richtlinien, Nutzerkategorien-Blocking und detailliertes Logging.
Unternehmensprodukte
Kommerzielle DNS-Security-Dienste wie Cisco Umbrella, Palo Alto DNS Security oder Zscaler DNS bieten erweiterte Funktionen: Threat-Intelligence-Integration, DNSSEC-Validierung, kategoriebasierte Filterung, Benutzeridentifikation und SIEM-Integration.
DNS-Blocking im Unternehmen
Richtlinien und Kategorien
Enterprise-DNS-Blocking-Lösungen erlauben die Definition von Filterrichtlinien nach Kategorien: Sicherheit (Malware, Phishing, C2, Botnets), Compliance (Gambling, Adult Content, Piracy), Produktivität (Social Media, Video-Streaming, Gaming), Netzwerk (Anonymizer/VPN, Tor-Exits, Free DNS) und unternehmensspezifische Sperrlisten. Kategorien können nach Nutzergruppen differenziert werden - IT-Personal benötigt breiteren Zugang als andere Abteilungen.
Logging und Forensik
Alle DNS-Anfragen werden protokolliert. Das ermöglicht nach einem Incident die Nachvollziehbarkeit, welche Domains ein kompromittiertes Gerät kontaktiert hat. DNS-Anfragen für frisch registrierte Domains, ungewöhnliche Anfragevolumen oder Anfragen zu bekannten Malware-Domains sind Alarmsignale. Logs dokumentieren außerdem, dass Sicherheitsrichtlinien technisch durchgesetzt wurden.
DNS-over-HTTPS und DNS-over-TLS im Unternehmenskontext
Moderne Browser implementieren DoH direkt - sie umgehen damit den konfigurierten System-DNS-Resolver und senden Anfragen verschlüsselt an eigene DNS-Provider. Das ist für die Privatsphäre gut, untergräbt aber unternehmensweites DNS-Filtering. Lösungsansätze sind: DoH/DoT im Unternehmensnetz blockieren (TCP/UDP 853 und HTTPS zu bekannten DoH-Anbietern wie 1.1.1.1 und 8.8.8.8 sperren), einen eigenen DoH/DoT-Server betreiben und Endgeräte darauf konfigurieren, oder DNS-Blocking am Gateway durch Endpunkt-Kontrollen ergänzen.
Grenzen des DNS-Blockings
DoH/DoT-Bypass
Wenn Nutzer oder Malware DNS-over-HTTPS direkt nutzen, umgehen sie den lokalen DNS-Resolver. Browser wie Firefox und Chrome können so konfiguriert werden, dass sie DoH-Anfragen an externe Anbieter senden, die keine Sperrlisten anwenden.
IP-basierter Direktzugriff
Anwendungen können den DNS-Resolver komplett umgehen, wenn die IP-Adresse eines Ziels bekannt ist. Hartcodierte IP-Adressen in Malware oder das Nachschlagen von IPs über alternative Kanäle umgehen DNS-Blocking vollständig.
VPN und Proxy
Nutzer oder Malware, die über VPN oder Proxy kommunizieren, senden DNS-Anfragen über den VPN-Anbieter oder leiten sie durch den Proxy - das lokale DNS-Filtering greift nicht.
Overblocking
Sperrlisten können legitime Domains fälschlicherweise blockieren. Besonders bei breit gefassten Kategorien (z. B. "newly registered domains") passiert es, dass legitime Services nicht erreichbar sind. Effektives DNS-Blocking erfordert daher Monitoring der Sperrentscheidungen und einen schnellen Prozess für Ausnahmen.
Verschlüsselte DNS-Exfiltration
DNS kann als Kanal für Datenschmuggel missbraucht werden (DNS-Tunneling). Dabei werden Daten in DNS-Anfragen kodiert und über den DNS-Kanal übertragen. Standard-DNS-Blocking erkennt das nicht - dafür ist eine tiefere Traffic-Analyse nötig.
DNS-Blocking ist eine kosteneffiziente und breite Schutzmaßnahme, die in jedem Netzwerk sinnvoll eingesetzt werden kann. Als Defense-in-Depth-Maßnahme sollte sie mit weiteren Schichten kombiniert werden: E-Mail-Filtering, Endpunkt-Schutz, Netzwerksegmentierung und regelmäßige Sicherheitsschulungen ergänzen das DNS-Blocking zu einer robusteren Gesamtarchitektur.
- Opfer besucht http://attacker.com → Browser löst auf: attacker.com = 1.2.3.4 (echte IP) → JavaScript wird geladen, TTL ist kurz (5-10 Sekunden)
- TTL läuft ab → Angreifer-DNS-Server ändert Eintrag: attacker.com = 192.168.1.1 (interner Router des Opfers!)
- JavaScript sendet Request an attacker.com → Browser: "attacker.com ist Same-Origin, kein Problem!" → Neuer DNS-Lookup: attacker.com = 192.168.1.1 → Request geht an internen Router → Angreifer liest Response!
Fragen zu diesem Thema?
Unsere Experten beraten Sie kostenlos und unverbindlich.
Über den Autor
Geschäftsführender Gesellschafter der AWARE7 GmbH mit langjähriger Expertise in Informationssicherheit, Penetrationstesting und IT-Risikomanagement. Absolvent des Masterstudiengangs Internet-Sicherheit an der Westfälischen Hochschule (if(is), Prof. Norbert Pohlmann). Bestseller-Autor im Wiley-VCH Verlag und Lehrbeauftragter der ASW-Akademie. Einschätzungen zu Cybersecurity und digitaler Souveränität erschienen u.a. in Welt am Sonntag, WDR, Deutschlandfunk und Handelsblatt.
10 Publikationen
- Einsatz von elektronischer Verschlüsselung - Hemmnisse für die Wirtschaft (2018)
- Kompass IT-Verschlüsselung - Orientierungshilfen für KMU (2018)
- IT Security Day 2025 - Live Hacking: KI in der Cybersicherheit (2025)
- Live Hacking - Credential Stuffing: Finanzrisiken jenseits Ransomware (2025)
- Keynote: Live Hacking Show - Ein Blick in die Welt der Cyberkriminalität (2025)
- Analyse von Angriffsflächen bei Shared-Hosting-Anbietern (2024)
- Gänsehaut garantiert: Die schaurigsten Funde aus dem Leben eines Pentesters (2022)
- IT Security Zertifizierungen - CISSP, T.I.S.P. & Co (Live-Webinar) (2023)
- Sicherheitsforum Online-Banking - Live Hacking (2021)
- Nipster im Netz und das Ende der Kreidezeit (2017)
