Tach,

wenn ich die korrekte Antwort hätte, dann müsste ich ja keine DNS Anfrage stellen.

richtig, deshalb funktioniert das Spoofing ja. DNS-Spoofing kannst du nur verhindern, wenn du über DNS feststellen kannst, dass der Rechner, den du befragst in diesem Moment das richtige Ergebnis ausliefert, dazu hilft kein Check über einen anderen Dienst (könnte ja weitergeleitet sein) oder eine spezielle weitere DNS-Abfrage (könnte ebenfalls weitergeleitet werden). Im Optimalfall will ich ja als Man-in-the-Middle beim DNS-Spoofing nur ein paar bestimmte Anfragen manipulieren, alles andere lasse ich weiterhin vom Ursprungsserver beantworten, also wäre ich nur an genau den manipulierten Abfragen erkennbar. Ich könnte dann später z.B. über ein Public-Key-Verfahren feststellen, ob ich wirklich die richtige Antwort erhalten habe, alternativ setzt man gleich DNSSSEC ein und kann damit sicherstellen, dass die DNS-Antwort vom richtigen Server kommt.

mfg
Woodfighter