Wer in einem öffentlichen WLAN auf das Internet zugreifen will, muss oft dafür zuerst einen Zugang kaufen. Doch wer sich auskennt, kann stattdessen auch geheime Tunnel verwenden – eine Technik, die auch heute noch funktioniert, allerdings mit moderneren Tools und Protokollen.
Die Daten werden dabei nicht über das normale HTTP- oder HTTPS-Protokoll übertragen wie sonst beim Surfen üblich, sondern über einen sogenannten DNS-Tunnel. DNS ist eigentlich der Telefonbuch-Dienst des Internets. Er löst lesbare Domain-Namen (wie z. B. schieb.de) in IP-Adressen (Haus-Nummern von Computern) auf, die der Computer im Netzwerk finden und ansprechen kann.
Warum DNS-Tunneling heute relevanter ist denn je
DNS-Tunneling hat sich seit den frühen 2000ern stark weiterentwickelt. Was ursprünglich als Trick für kostenlose WLAN-Nutzung begann, ist heute ein wichtiges Thema in der Cybersicherheit. Viele Unternehmen müssen sich vor DNS-Tunneling schützen, da es von Angreifern genutzt wird, um Firewalls zu umgehen oder Daten zu exfiltrieren.
Das Prinzip bleibt aber dasselbe: DNS-Anfragen sind in nahezu allen Netzwerken erlaubt – schließlich muss euer Computer Domainnamen auflösen können, um überhaupt zu funktionieren. Diese Tatsache nutzen DNS-Tunnel geschickt aus.
Moderne Tools für DNS-Tunneling
Das alte OzymanDNS ist längst überholt. Heute gibt es deutlich ausgefeiltere Tools:
Iodine ist einer der bekanntesten DNS-Tunnel-Clients. Das Tool läuft auf Linux, macOS und Windows und bietet eine deutlich bessere Performance als frühere Lösungen. Mit Iodine könnt ihr bis zu 1 Mbit/s erreichen – nicht gerade schnell, aber für grundlegende Internetnutzung ausreichend.
DNSCat2 ist ein weiteres populäres Tool, das ursprünglich für Penetrationstests entwickelt wurde. Es kann nicht nur Internetverkehr tunneln, sondern auch als verschlüsselter Kommandokanal genutzt werden.
Chisel bietet DNS-Tunneling als eine von mehreren Tunneling-Optionen und ist besonders benutzerfreundlich. Das Tool unterstützt auch HTTP/HTTPS-Tunneling und SOCKS-Proxies.
So funktioniert DNS-Tunneling im Detail
Bei DNS-Tunneling werden eure Daten in DNS-Anfragen verpackt. Statt nach der IP-Adresse einer normalen Domain zu fragen, enthält die Anfrage kodierte Nutzdaten. Ein spezieller DNS-Server entpackt diese Daten, leitet sie ins normale Internet weiter und schickt die Antwort wieder über DNS zurück.
Der Trick: DNS-Anfragen sind normalerweise nur wenige Bytes groß. DNS-Tunneling nutzt aber längere Subdomains und spezielle Record-Types wie TXT, um mehr Daten zu übertragen. Eine typische getunnelte Anfrage könnte so aussehen:
SGVsbG8gV29ybGQ.euer-tunnel-server.com
Der Teil vor dem Punkt enthält eure Base64-kodierten Daten.
Die rechtlichen Grauzonen
Hier wird’s heikel: DNS-Tunneling in öffentlichen WLANs zu nutzen, um Bezahlschranken zu umgehen, bewegt sich in rechtlichen Grauzonen. Technisch gesehen nutzt ihr einen Dienst, ohne dafür zu bezahlen – das kann als Erschleichen von Leistungen gewertet werden.
Anders sieht es aus, wenn ihr DNS-Tunneling für legitime Zwecke nutzt: Etwa um in stark zensierten Netzwerken auf blockierte Websites zuzugreifen oder um in Unternehmensnetzwerken notwendige Updates herunterzuladen, die von überstriktenen Firewalls blockiert werden.
Grenzen und Nachteile
DNS-Tunneling hat erhebliche Limitationen: Die Geschwindigkeit ist miserabel – rechnet mit maximal 1-2 Mbit/s unter optimalen Bedingungen. Für Video-Streaming oder größere Downloads ist das völlig ungeeignet. Auch die Latenz ist hoch, da jedes Datenpaket durch den DNS-Auflösungsprozess muss.
Moderne Netzwerk-Monitoring-Tools erkennen DNS-Tunneling zudem immer besser. Ungewöhnlich große DNS-Anfragen, verdächtige Subdomain-Muster oder erhöhtes DNS-Verkehrsaufkommen fallen geschulten Administratoren auf.
Schutz vor DNS-Tunneling
Wenn ihr euer Netzwerk vor DNS-Tunneling schützen wollt, gibt es mehrere Ansätze: DNS-Monitoring-Tools wie Splunk oder ELK Stack können verdächtigen DNS-Traffic erkennen. Viele moderne Firewalls haben auch eingebaute DNS-Tunnel-Erkennung.
Eine radikale aber effektive Methode ist, nur noch bestimmte DNS-Server zu erlauben und alle anderen DNS-Anfragen zu blockieren. Das macht DNS-Tunneling praktisch unmöglich.
Fazit: Faszinierende Technik, fragwürdiger Nutzen
DNS-Tunneling zeigt eindrucksvoll, wie kreativ Entwickler bei der Umgehung von Netzwerk-Beschränkungen werden können. Als Lernprojekt und für Notfälle kann die Technik durchaus nützlich sein. Für den alltäglichen Gebrauch ist sie aber zu langsam und rechtlich problematisch.
Wer heute kostenloses Internet braucht, ist mit öffentlichen WLAN-Hotspots, Bibliotheken oder Café-WLANs besser beraten. Und wer Zensur umgehen will, sollte eher zu etablierten VPN-Diensten greifen – die sind schneller, sicherer und oft günstiger als ein eigener DNS-Tunnel-Server.
Zuletzt aktualisiert am 05.04.2026
