Scheinweltname
Lt. Commander
- Registriert
- Jan. 2008
- Beiträge
- 1.743
Weil ich die Funktionsweise der hosts Datei [unter Windows] jetzt endlich selber kapiert habe, formuliere ich das hier mal für Leute, die aus dem Wikipedia-Eintrag auch nicht schlau werden und noch nicht wissen bzw. verstehen, wie die hosts-Datei als Webfilter genutzt werden kann. Sehr hilfreich war für mich dieser link.
Die Datei hosts
Ort:
Windows-Ordner --> System32 --> drivers --> etc
(die Datei hat keine Endung, lässt sich mit dem Editor bzw. jedem Textprogramm öffnen und ggf. erstellen, ist aber meistens schreibgeschützt und Änderungen erfordern ggf. Admin-Rechte)
Die normale Beispiel-hosts-Datei, die bei der Installation von Windows automatisch erstellt wird, hat diesen Inhalt:
Der Sinn der hosts-Datei
IP-Adressen einem Namen zuordnen (Namensauflösung) und darauf aufbauend Verbindung bzw. Umleitung (als Ergänzung oder gar Ersatz von Namensauflösungsmöglichkeiten wie DNS) bewerkstelligen.
Adressen wie "www.google.de" dienen nur der Benutzerfreundlichkeit, die eigentliche Adresse dahinter ist die Zahlen-Reihe (IP-Adresse) mit den drei Punkten, zum Beispiel 169.254.234.24, ggf. mit Angabe des Netzwerkports (in diesem Fall 80; der Standard-Port fürs Websurfen): 169.254.234.22:80 (HTTP). [1] [2]
Wenn man sich in einem Netzwerk bzw. im Internet bewegt und in einem Browser z.B. "www.google.de" eingibt, dann muss ja irgendeine Instanz die zu diesem Text zugehörige IP-Adresse suchen. Der erste Schritt ist da die hosts-Datei: Es wird dort nach "www.google.de" gesucht. Die hosts-Datei gilt für das gesamte System, also für jeden Browser und jedes Programm, individuelle Anpassungen an Programme sind nicht nötig.
Wenn in der hosts-Datei nichts gefunden wird, dann wird die IP-Adresse meistens per DNS (Domain Name System) neu gesucht. Normalerweise übernimmt ein DNS-Server oder der eigene Router diese Aufgabe. [3]
Wenn aber z.B. ein in die Adressleiste eines Browsers eingetippte Adresse tatsächlich als Eintrag in der hosts-Datei steht, dann verbindet der Rechner mit der davor stehenden IP-Adresse, ohne die IP-Adresse neu "aufzulösen", d.h. zu suchen.
fiktives Beispiel [4] :
Das lässt sich leicht für kriminelle Zwecke missbrauchen, indem man auf Seiten mit Schadcode, Browser-Plugin-Installationsversuchen, Angeboten für Scareware usf. umgeleitet wird. D.h. dass "www.google.de" nicht mit der IP-Adresse von Google verbunden wird, sondern mit einer anderen. Hinterhältige Umleitungen führen z.B. auf Seiten, die genauso aussehen wie die gesuchte Seite, die aber im Hintergrund noch Script-Code (Keylogger o.ä.) oder andere Verbindungen öffnen (z.B. bei Phishing-Seiten). Erschwerend kommt hinzu, dass in der Adressleiste des Browsers trotz der Umleitung immer noch die eingegebene Adresse steht. Wer also beim Online-Banking u.ä. sicher sein will, muss immer auf die Anzeige des "Schlosses" im Browser achten, was bestätigt, dass die Seite über eine verschlüsselte und außerdem per Zertifikat 'beglaubigte' Verbindung aufgerufen wurde. Hinweise zum Umgang mit Zertifikaten siehe Post #8.
[Passage entfernt, siehe Post #4, Scheinweltname]
[Passage entfernt, siehe 2. Zitat von Jesterfox Post #2, Scheinweltname]
Die hosts-Datei als Adress-Filter
Manche vertrauenswürdigen Schutz-Programme, wie z.B. Spybot Search & Destroy, verändern die hosts-Datei, um den Zugriff auf bestimmte Adressen zu blockieren. Wenn man mit Spybot den Rechner per "Immunisieren" schützt (und das standardmäßig aktivierte Häkchen bei "Global: Hosts" nicht entfernt), dann werden der hosts-Datei (mit den derzeitigen Update-Definitionen (11.10.2009)) ganze 11.805(!!) Einträge hinzugefügt (die Datei ist dann ca. 350KB groß).
Auszug aus einer mit Spybot S&D immunisierten hosts Datei [4]
Das Filtern funktioniert so:
Wenn jetzt der Rechner eine unseriöse Adresse, die in der Liste enthalten ist, aufrufen will, dann wird die Verbindung nicht mit der unseriösen Seite (bzw. ihrer IP-Adresse) hergestellt, sondern mit dem localhost 127.0.0.1, dem eigenen Rechner. Das bedeutet effektiv, dass keine Verbindung zu einer womöglich mit Schadcode verseuchten Seite aufgerufen wird.
Allerdings greift dieser Schutz nur, wenn man die Adresse in Textform schreibt bzw. ein Programm nicht direkt eine IP-Adresse, sondern einen Namen z.B. an einen Browser übergibt. [Passage geändert, Scheinweltname]
Die formalisierte Syntax der hosts-Datei:
______________Fußnoten_____________
[1] Die eigene IP-Adresse mit der zugehörigen Reverse-DNS (der Name des eigenen Rechners im Internet) kann man z.B. hier prüfen: https://www.grc.com/x/ne.dll?bh0bkyd2.
[2] Um die Nutzung von Internet-IP-Adressen zu vermeiden, dient hier eine willkürlich ausgewählte Adresse aus dem Adressraum von lokalen Netzwerken (ZeroConfig-Netzwerke) als Beispiel.
[3] Die Adresse des eigenen DNS-Servers kann man abrufen, indem man in die Eingabeaufforderung ipconfig /all eingibt oder bei seiner Netzwerkverbindung (Adaptereinstellungen) unter "Status"-->"Details" nachsieht. [5]
[4] Damit die links nicht klickbar sind, habe ich das rote Sternchen eingefügt. Eigentlich müsste an den entsprechenden Stellen also "www" statt "w*ww" stehen!
[5] Benutzer von Routern könnten bei sich ggf. die Adresse ihres Routers als DNS-Server finden. Einträge aus dem ZeroConfig-Adressraum 169.254.0.0/16 (d.h. alle möglichen Adressen zwischen 169.254.1.0 bis 169.254.254.255) und dem Bereich 192.168.0.0 bis 192.168.255.255 (nutzen die meisten/ alle Router) sollten - unter Vorbehalt - sicher sein (es sei denn, man hätte Angreifer im eigenen lokalen Netzwerk). Diese Adressen liefern bei ip2location "Private IP Address Lan", was aber in Ordnung ist.
Die Datei hosts
Ort:
Windows-Ordner --> System32 --> drivers --> etc
(die Datei hat keine Endung, lässt sich mit dem Editor bzw. jedem Textprogramm öffnen und ggf. erstellen, ist aber meistens schreibgeschützt und Änderungen erfordern ggf. Admin-Rechte)
Die normale Beispiel-hosts-Datei, die bei der Installation von Windows automatisch erstellt wird, hat diesen Inhalt:
Der Sinn der hosts-Datei
IP-Adressen einem Namen zuordnen (Namensauflösung) und darauf aufbauend Verbindung bzw. Umleitung (als Ergänzung oder gar Ersatz von Namensauflösungsmöglichkeiten wie DNS) bewerkstelligen.
Adressen wie "www.google.de" dienen nur der Benutzerfreundlichkeit, die eigentliche Adresse dahinter ist die Zahlen-Reihe (IP-Adresse) mit den drei Punkten, zum Beispiel 169.254.234.24, ggf. mit Angabe des Netzwerkports (in diesem Fall 80; der Standard-Port fürs Websurfen): 169.254.234.22:80 (HTTP). [1] [2]
Wenn man sich in einem Netzwerk bzw. im Internet bewegt und in einem Browser z.B. "www.google.de" eingibt, dann muss ja irgendeine Instanz die zu diesem Text zugehörige IP-Adresse suchen. Der erste Schritt ist da die hosts-Datei: Es wird dort nach "www.google.de" gesucht. Die hosts-Datei gilt für das gesamte System, also für jeden Browser und jedes Programm, individuelle Anpassungen an Programme sind nicht nötig.
Wenn in der hosts-Datei nichts gefunden wird, dann wird die IP-Adresse meistens per DNS (Domain Name System) neu gesucht. Normalerweise übernimmt ein DNS-Server oder der eigene Router diese Aufgabe. [3]
Wenn aber z.B. ein in die Adressleiste eines Browsers eingetippte Adresse tatsächlich als Eintrag in der hosts-Datei steht, dann verbindet der Rechner mit der davor stehenden IP-Adresse, ohne die IP-Adresse neu "aufzulösen", d.h. zu suchen.
fiktives Beispiel [4] :
Folge: Wenn man "www.google.de" eingibt, landet man auf der Website/ dem Rechner mit der IP-Adresse 169.254.234.22, insofern eine Verbindung möglich ist.
Das lässt sich leicht für kriminelle Zwecke missbrauchen, indem man auf Seiten mit Schadcode, Browser-Plugin-Installationsversuchen, Angeboten für Scareware usf. umgeleitet wird. D.h. dass "www.google.de" nicht mit der IP-Adresse von Google verbunden wird, sondern mit einer anderen. Hinterhältige Umleitungen führen z.B. auf Seiten, die genauso aussehen wie die gesuchte Seite, die aber im Hintergrund noch Script-Code (Keylogger o.ä.) oder andere Verbindungen öffnen (z.B. bei Phishing-Seiten). Erschwerend kommt hinzu, dass in der Adressleiste des Browsers trotz der Umleitung immer noch die eingegebene Adresse steht. Wer also beim Online-Banking u.ä. sicher sein will, muss immer auf die Anzeige des "Schlosses" im Browser achten, was bestätigt, dass die Seite über eine verschlüsselte und außerdem per Zertifikat 'beglaubigte' Verbindung aufgerufen wurde. Hinweise zum Umgang mit Zertifikaten siehe Post #8.
[Passage entfernt, siehe Post #4, Scheinweltname]
[Passage entfernt, siehe 2. Zitat von Jesterfox Post #2, Scheinweltname]
Wer also andere Einträge als den üblichen 127.0.0.1 localhost in der eigenen hosts-Datei findet, muss nicht zwingend Opfer von Schadsoftware geworden sein. Vorsicht ist aber in jedem Fall geboten; vor allem sollte geprüft werden, ob die IP-Adressen mit Trojanern, Viren und Co. in Verbindung stehen. Dazu sollte man die IP-Adresse bei einem WhoIs-Dienst eingeben (z.B. bei heise). Dort wird dann angezeigt, wie der Anbieter heißt und aus welchem Land er kommt. [5]
Die hosts-Datei als Adress-Filter
Manche vertrauenswürdigen Schutz-Programme, wie z.B. Spybot Search & Destroy, verändern die hosts-Datei, um den Zugriff auf bestimmte Adressen zu blockieren. Wenn man mit Spybot den Rechner per "Immunisieren" schützt (und das standardmäßig aktivierte Häkchen bei "Global: Hosts" nicht entfernt), dann werden der hosts-Datei (mit den derzeitigen Update-Definitionen (11.10.2009)) ganze 11.805(!!) Einträge hinzugefügt (die Datei ist dann ca. 350KB groß).
Auszug aus einer mit Spybot S&D immunisierten hosts Datei [4]
Das Filtern funktioniert so:
Wenn jetzt der Rechner eine unseriöse Adresse, die in der Liste enthalten ist, aufrufen will, dann wird die Verbindung nicht mit der unseriösen Seite (bzw. ihrer IP-Adresse) hergestellt, sondern mit dem localhost 127.0.0.1, dem eigenen Rechner. Das bedeutet effektiv, dass keine Verbindung zu einer womöglich mit Schadcode verseuchten Seite aufgerufen wird.
Allerdings greift dieser Schutz nur, wenn man die Adresse in Textform schreibt bzw. ein Programm nicht direkt eine IP-Adresse, sondern einen Namen z.B. an einen Browser übergibt. [Passage geändert, Scheinweltname]
Die formalisierte Syntax der hosts-Datei:
DISCLAIMER
Auch wenn ich natürlich davon ausgehe, dass alle meine Informationen korrekt sind, so bin ich doch kein Netzwerk-Experte, sondern habe das alles durch Recherche erschlossen. Das bedeutet vor allem, dass ich keine Verantwortung für die Folgen von manuellen Veränderungen der Datei übernehme; dieser Text ist KEINE Bedienungsanleitung für das "tweaking" der Datei hosts. Im Zweifelsfall also immer selber recherchieren oder Experten fragen!
Wer sachliche Fehler findet, der antworte mir bitte unbedingt per PN oder schreibe eine Antwort in diesen Thread. Scheinweltname
Auch wenn ich natürlich davon ausgehe, dass alle meine Informationen korrekt sind, so bin ich doch kein Netzwerk-Experte, sondern habe das alles durch Recherche erschlossen. Das bedeutet vor allem, dass ich keine Verantwortung für die Folgen von manuellen Veränderungen der Datei übernehme; dieser Text ist KEINE Bedienungsanleitung für das "tweaking" der Datei hosts. Im Zweifelsfall also immer selber recherchieren oder Experten fragen!
Wer sachliche Fehler findet, der antworte mir bitte unbedingt per PN oder schreibe eine Antwort in diesen Thread. Scheinweltname
______________Fußnoten_____________
[1] Die eigene IP-Adresse mit der zugehörigen Reverse-DNS (der Name des eigenen Rechners im Internet) kann man z.B. hier prüfen: https://www.grc.com/x/ne.dll?bh0bkyd2.
[2] Um die Nutzung von Internet-IP-Adressen zu vermeiden, dient hier eine willkürlich ausgewählte Adresse aus dem Adressraum von lokalen Netzwerken (ZeroConfig-Netzwerke) als Beispiel.
[3] Die Adresse des eigenen DNS-Servers kann man abrufen, indem man in die Eingabeaufforderung ipconfig /all eingibt oder bei seiner Netzwerkverbindung (Adaptereinstellungen) unter "Status"-->"Details" nachsieht. [5]
[4] Damit die links nicht klickbar sind, habe ich das rote Sternchen eingefügt. Eigentlich müsste an den entsprechenden Stellen also "www" statt "w*ww" stehen!
[5] Benutzer von Routern könnten bei sich ggf. die Adresse ihres Routers als DNS-Server finden. Einträge aus dem ZeroConfig-Adressraum 169.254.0.0/16 (d.h. alle möglichen Adressen zwischen 169.254.1.0 bis 169.254.254.255) und dem Bereich 192.168.0.0 bis 192.168.255.255 (nutzen die meisten/ alle Router) sollten - unter Vorbehalt - sicher sein (es sei denn, man hätte Angreifer im eigenen lokalen Netzwerk). Diese Adressen liefern bei ip2location "Private IP Address Lan", was aber in Ordnung ist.
Zuletzt bearbeitet:
)
. Wie steht es denn mit dem Beispiel im lokalen Netzwerk wie "PetrasRechner"? Geht das (hab kein Netzwerk zum Testen)? (Hab die Syntax mit "start" gerade mal am Beispiel Computerbase.de ausprobiert. Funktioniert tatsächlich nicht). Und was ist mit "127.0.0.1 169.254.234.22", geht das? Kann man so die IP-Adresse auf den localhost umleiten? Bzw. könnte man statt auf den localhost auch auf jede beliebige IP-Adresse umleiten?
, hab ich doch 
