Scheinweltname
Lt. Commander
- Registriert
- Jan. 2008
- Beiträge
- 1.743
Weil ich die Funktionsweise der hosts Datei [unter Windows] jetzt endlich selber kapiert habe, formuliere ich das hier mal für Leute, die aus dem Wikipedia-Eintrag auch nicht schlau werden und noch nicht wissen bzw. verstehen, wie die hosts-Datei als Webfilter genutzt werden kann. Sehr hilfreich war für mich dieser link.
Die Datei hosts
Ort:
Windows-Ordner --> System32 --> drivers --> etc
(die Datei hat keine Endung, lässt sich mit dem Editor bzw. jedem Textprogramm öffnen und ggf. erstellen, ist aber meistens schreibgeschützt und Änderungen erfordern ggf. Admin-Rechte)
Die normale Beispiel-hosts-Datei, die bei der Installation von Windows automatisch erstellt wird, hat diesen Inhalt:
Der Sinn der hosts-Datei
IP-Adressen einem Namen zuordnen (Namensauflösung) und darauf aufbauend Verbindung bzw. Umleitung (als Ergänzung oder gar Ersatz von Namensauflösungsmöglichkeiten wie DNS) bewerkstelligen.
Adressen wie "www.google.de" dienen nur der Benutzerfreundlichkeit, die eigentliche Adresse dahinter ist die Zahlen-Reihe (IP-Adresse) mit den drei Punkten, zum Beispiel 169.254.234.24, ggf. mit Angabe des Netzwerkports (in diesem Fall 80; der Standard-Port fürs Websurfen): 169.254.234.22:80 (HTTP). [1] [2]
Wenn man sich in einem Netzwerk bzw. im Internet bewegt und in einem Browser z.B. "www.google.de" eingibt, dann muss ja irgendeine Instanz die zu diesem Text zugehörige IP-Adresse suchen. Der erste Schritt ist da die hosts-Datei: Es wird dort nach "www.google.de" gesucht. Die hosts-Datei gilt für das gesamte System, also für jeden Browser und jedes Programm, individuelle Anpassungen an Programme sind nicht nötig.
Wenn in der hosts-Datei nichts gefunden wird, dann wird die IP-Adresse meistens per DNS (Domain Name System) neu gesucht. Normalerweise übernimmt ein DNS-Server oder der eigene Router diese Aufgabe. [3]
Wenn aber z.B. ein in die Adressleiste eines Browsers eingetippte Adresse tatsächlich als Eintrag in der hosts-Datei steht, dann verbindet der Rechner mit der davor stehenden IP-Adresse, ohne die IP-Adresse neu "aufzulösen", d.h. zu suchen.
fiktives Beispiel [4] :
Das lässt sich leicht für kriminelle Zwecke missbrauchen, indem man auf Seiten mit Schadcode, Browser-Plugin-Installationsversuchen, Angeboten für Scareware usf. umgeleitet wird. D.h. dass "www.google.de" nicht mit der IP-Adresse von Google verbunden wird, sondern mit einer anderen. Hinterhältige Umleitungen führen z.B. auf Seiten, die genauso aussehen wie die gesuchte Seite, die aber im Hintergrund noch Script-Code (Keylogger o.ä.) oder andere Verbindungen öffnen (z.B. bei Phishing-Seiten). Erschwerend kommt hinzu, dass in der Adressleiste des Browsers trotz der Umleitung immer noch die eingegebene Adresse steht. Wer also beim Online-Banking u.ä. sicher sein will, muss immer auf die Anzeige des "Schlosses" im Browser achten, was bestätigt, dass die Seite über eine verschlüsselte und außerdem per Zertifikat 'beglaubigte' Verbindung aufgerufen wurde. Hinweise zum Umgang mit Zertifikaten siehe Post #8.
[Passage entfernt, siehe Post #4, Scheinweltname]
[Passage entfernt, siehe 2. Zitat von Jesterfox Post #2, Scheinweltname]
Die hosts-Datei als Adress-Filter
Manche vertrauenswürdigen Schutz-Programme, wie z.B. Spybot Search & Destroy, verändern die hosts-Datei, um den Zugriff auf bestimmte Adressen zu blockieren. Wenn man mit Spybot den Rechner per "Immunisieren" schützt (und das standardmäßig aktivierte Häkchen bei "Global: Hosts" nicht entfernt), dann werden der hosts-Datei (mit den derzeitigen Update-Definitionen (11.10.2009)) ganze 11.805(!!) Einträge hinzugefügt (die Datei ist dann ca. 350KB groß).
Auszug aus einer mit Spybot S&D immunisierten hosts Datei [4]
Das Filtern funktioniert so:
Wenn jetzt der Rechner eine unseriöse Adresse, die in der Liste enthalten ist, aufrufen will, dann wird die Verbindung nicht mit der unseriösen Seite (bzw. ihrer IP-Adresse) hergestellt, sondern mit dem localhost 127.0.0.1, dem eigenen Rechner. Das bedeutet effektiv, dass keine Verbindung zu einer womöglich mit Schadcode verseuchten Seite aufgerufen wird.
Allerdings greift dieser Schutz nur, wenn man die Adresse in Textform schreibt bzw. ein Programm nicht direkt eine IP-Adresse, sondern einen Namen z.B. an einen Browser übergibt. [Passage geändert, Scheinweltname]
Die formalisierte Syntax der hosts-Datei:
______________Fußnoten_____________
[1] Die eigene IP-Adresse mit der zugehörigen Reverse-DNS (der Name des eigenen Rechners im Internet) kann man z.B. hier prüfen: https://www.grc.com/x/ne.dll?bh0bkyd2.
[2] Um die Nutzung von Internet-IP-Adressen zu vermeiden, dient hier eine willkürlich ausgewählte Adresse aus dem Adressraum von lokalen Netzwerken (ZeroConfig-Netzwerke) als Beispiel.
[3] Die Adresse des eigenen DNS-Servers kann man abrufen, indem man in die Eingabeaufforderung ipconfig /all eingibt oder bei seiner Netzwerkverbindung (Adaptereinstellungen) unter "Status"-->"Details" nachsieht. [5]
[4] Damit die links nicht klickbar sind, habe ich das rote Sternchen eingefügt. Eigentlich müsste an den entsprechenden Stellen also "www" statt "w*ww" stehen!
[5] Benutzer von Routern könnten bei sich ggf. die Adresse ihres Routers als DNS-Server finden. Einträge aus dem ZeroConfig-Adressraum 169.254.0.0/16 (d.h. alle möglichen Adressen zwischen 169.254.1.0 bis 169.254.254.255) und dem Bereich 192.168.0.0 bis 192.168.255.255 (nutzen die meisten/ alle Router) sollten - unter Vorbehalt - sicher sein (es sei denn, man hätte Angreifer im eigenen lokalen Netzwerk). Diese Adressen liefern bei ip2location "Private IP Address Lan", was aber in Ordnung ist.
Die Datei hosts
Ort:
Windows-Ordner --> System32 --> drivers --> etc
(die Datei hat keine Endung, lässt sich mit dem Editor bzw. jedem Textprogramm öffnen und ggf. erstellen, ist aber meistens schreibgeschützt und Änderungen erfordern ggf. Admin-Rechte)
Die normale Beispiel-hosts-Datei, die bei der Installation von Windows automatisch erstellt wird, hat diesen Inhalt:
# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost
127.0.0.1 localhost
Der Sinn der hosts-Datei
IP-Adressen einem Namen zuordnen (Namensauflösung) und darauf aufbauend Verbindung bzw. Umleitung (als Ergänzung oder gar Ersatz von Namensauflösungsmöglichkeiten wie DNS) bewerkstelligen.
Adressen wie "www.google.de" dienen nur der Benutzerfreundlichkeit, die eigentliche Adresse dahinter ist die Zahlen-Reihe (IP-Adresse) mit den drei Punkten, zum Beispiel 169.254.234.24, ggf. mit Angabe des Netzwerkports (in diesem Fall 80; der Standard-Port fürs Websurfen): 169.254.234.22:80 (HTTP). [1] [2]
Wenn man sich in einem Netzwerk bzw. im Internet bewegt und in einem Browser z.B. "www.google.de" eingibt, dann muss ja irgendeine Instanz die zu diesem Text zugehörige IP-Adresse suchen. Der erste Schritt ist da die hosts-Datei: Es wird dort nach "www.google.de" gesucht. Die hosts-Datei gilt für das gesamte System, also für jeden Browser und jedes Programm, individuelle Anpassungen an Programme sind nicht nötig.
Wenn in der hosts-Datei nichts gefunden wird, dann wird die IP-Adresse meistens per DNS (Domain Name System) neu gesucht. Normalerweise übernimmt ein DNS-Server oder der eigene Router diese Aufgabe. [3]
Wenn aber z.B. ein in die Adressleiste eines Browsers eingetippte Adresse tatsächlich als Eintrag in der hosts-Datei steht, dann verbindet der Rechner mit der davor stehenden IP-Adresse, ohne die IP-Adresse neu "aufzulösen", d.h. zu suchen.
fiktives Beispiel [4] :
Folge: Wenn man "www.google.de" eingibt, landet man auf der Website/ dem Rechner mit der IP-Adresse 169.254.234.22, insofern eine Verbindung möglich ist.127.0.0.1 localhost
169.254.234.22 w*ww.google.de
Das lässt sich leicht für kriminelle Zwecke missbrauchen, indem man auf Seiten mit Schadcode, Browser-Plugin-Installationsversuchen, Angeboten für Scareware usf. umgeleitet wird. D.h. dass "www.google.de" nicht mit der IP-Adresse von Google verbunden wird, sondern mit einer anderen. Hinterhältige Umleitungen führen z.B. auf Seiten, die genauso aussehen wie die gesuchte Seite, die aber im Hintergrund noch Script-Code (Keylogger o.ä.) oder andere Verbindungen öffnen (z.B. bei Phishing-Seiten). Erschwerend kommt hinzu, dass in der Adressleiste des Browsers trotz der Umleitung immer noch die eingegebene Adresse steht. Wer also beim Online-Banking u.ä. sicher sein will, muss immer auf die Anzeige des "Schlosses" im Browser achten, was bestätigt, dass die Seite über eine verschlüsselte und außerdem per Zertifikat 'beglaubigte' Verbindung aufgerufen wurde. Hinweise zum Umgang mit Zertifikaten siehe Post #8.
[Passage entfernt, siehe Post #4, Scheinweltname]
[Passage entfernt, siehe 2. Zitat von Jesterfox Post #2, Scheinweltname]
Wer also andere Einträge als den üblichen 127.0.0.1 localhost in der eigenen hosts-Datei findet, muss nicht zwingend Opfer von Schadsoftware geworden sein. Vorsicht ist aber in jedem Fall geboten; vor allem sollte geprüft werden, ob die IP-Adressen mit Trojanern, Viren und Co. in Verbindung stehen. Dazu sollte man die IP-Adresse bei einem WhoIs-Dienst eingeben (z.B. bei heise). Dort wird dann angezeigt, wie der Anbieter heißt und aus welchem Land er kommt. [5]
Die hosts-Datei als Adress-Filter
Manche vertrauenswürdigen Schutz-Programme, wie z.B. Spybot Search & Destroy, verändern die hosts-Datei, um den Zugriff auf bestimmte Adressen zu blockieren. Wenn man mit Spybot den Rechner per "Immunisieren" schützt (und das standardmäßig aktivierte Häkchen bei "Global: Hosts" nicht entfernt), dann werden der hosts-Datei (mit den derzeitigen Update-Definitionen (11.10.2009)) ganze 11.805(!!) Einträge hinzugefügt (die Datei ist dann ca. 350KB groß).
Auszug aus einer mit Spybot S&D immunisierten hosts Datei [4]
# Copyright (c) 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host
# localhost name resolution is handled within DNS itself.
# 127.0.0.1 localhost
# ::1 localhost
127.0.0.1 localhost
::1 localhost
# Start of entries inserted by Spybot - Search & Destroy
127.0.0.1 w*ww.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 w*ww.008k.com
127.0.0.1 008k.com
127.0.0.1 w*ww.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 w*ww.032439.com
127.0.0.1 032439.com
127.0.0.1 w*ww.0scan.com
127.0.0.1 0scan.com
127.0.0.1 1000gratisproben.com
127.0.0.1 w*ww.1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 w*ww.1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 w*ww.100888290cs.com
127.0.0.1 w*ww.100sexlinks.com
127.0.0.1 100sexlinks.com
127.0.0.1 10sek.com
127.0.0.1 w*ww.10sek.com
127.0.0.1 w*ww.1-2005-search.com
127.0.0.1 1-2005-search.com
...
Das Filtern funktioniert so:
Wenn jetzt der Rechner eine unseriöse Adresse, die in der Liste enthalten ist, aufrufen will, dann wird die Verbindung nicht mit der unseriösen Seite (bzw. ihrer IP-Adresse) hergestellt, sondern mit dem localhost 127.0.0.1, dem eigenen Rechner. Das bedeutet effektiv, dass keine Verbindung zu einer womöglich mit Schadcode verseuchten Seite aufgerufen wird.
Allerdings greift dieser Schutz nur, wenn man die Adresse in Textform schreibt bzw. ein Programm nicht direkt eine IP-Adresse, sondern einen Namen z.B. an einen Browser übergibt. [Passage geändert, Scheinweltname]
Die formalisierte Syntax der hosts-Datei:
[IP-Adresse] [Name, den man z.B. in die Adresszeile des Browsers schreibt, um die IP-Adresse zu erreichen] [ggf. Kommentare, beginnend mit "#"]
DISCLAIMER
Auch wenn ich natürlich davon ausgehe, dass alle meine Informationen korrekt sind, so bin ich doch kein Netzwerk-Experte, sondern habe das alles durch Recherche erschlossen. Das bedeutet vor allem, dass ich keine Verantwortung für die Folgen von manuellen Veränderungen der Datei übernehme; dieser Text ist KEINE Bedienungsanleitung für das "tweaking" der Datei hosts. Im Zweifelsfall also immer selber recherchieren oder Experten fragen!
Wer sachliche Fehler findet, der antworte mir bitte unbedingt per PN oder schreibe eine Antwort in diesen Thread. Scheinweltname
Auch wenn ich natürlich davon ausgehe, dass alle meine Informationen korrekt sind, so bin ich doch kein Netzwerk-Experte, sondern habe das alles durch Recherche erschlossen. Das bedeutet vor allem, dass ich keine Verantwortung für die Folgen von manuellen Veränderungen der Datei übernehme; dieser Text ist KEINE Bedienungsanleitung für das "tweaking" der Datei hosts. Im Zweifelsfall also immer selber recherchieren oder Experten fragen!
Wer sachliche Fehler findet, der antworte mir bitte unbedingt per PN oder schreibe eine Antwort in diesen Thread. Scheinweltname
______________Fußnoten_____________
[1] Die eigene IP-Adresse mit der zugehörigen Reverse-DNS (der Name des eigenen Rechners im Internet) kann man z.B. hier prüfen: https://www.grc.com/x/ne.dll?bh0bkyd2.
[2] Um die Nutzung von Internet-IP-Adressen zu vermeiden, dient hier eine willkürlich ausgewählte Adresse aus dem Adressraum von lokalen Netzwerken (ZeroConfig-Netzwerke) als Beispiel.
[3] Die Adresse des eigenen DNS-Servers kann man abrufen, indem man in die Eingabeaufforderung ipconfig /all eingibt oder bei seiner Netzwerkverbindung (Adaptereinstellungen) unter "Status"-->"Details" nachsieht. [5]
[4] Damit die links nicht klickbar sind, habe ich das rote Sternchen eingefügt. Eigentlich müsste an den entsprechenden Stellen also "www" statt "w*ww" stehen!
[5] Benutzer von Routern könnten bei sich ggf. die Adresse ihres Routers als DNS-Server finden. Einträge aus dem ZeroConfig-Adressraum 169.254.0.0/16 (d.h. alle möglichen Adressen zwischen 169.254.1.0 bis 169.254.254.255) und dem Bereich 192.168.0.0 bis 192.168.255.255 (nutzen die meisten/ alle Router) sollten - unter Vorbehalt - sicher sein (es sei denn, man hätte Angreifer im eigenen lokalen Netzwerk). Diese Adressen liefern bei ip2location "Private IP Address Lan", was aber in Ordnung ist.
Zuletzt bearbeitet: