Netzwerke wirkungsvoll absichern

DNS-Attacken – Typen und Sicherheitsvorkehrungen



Der Diplom Ingenieur Rainer Singer verfügt über langjährige Erfahrung im Systems- und Security-Engineering-Bereich und war unter anderem bei SE Manager CEUR bei Infoblox,  bei F5 Networks als Systems Engineer und bei Integralis als Technical Consultant tätig.
Netzwerke sind heute kontinuierlich Angriffen ausgesetzt, indem Kriminelle das Domain Name System (DNS) unterwandern. Wer DNS-Attacken vorbeugen will, sollte die Typen der Angriffe und die Schutzmaßnahmen kennen.

Name-Server, die Domain Name Systems (DNS) hosten, sind überall vorhanden und in der Regel nicht sehr gut abgesichert - genau deshalb haben sie sich zu einem leichten Ziel für Angreifer entwickelt. DNS ist einer der wenigen Dienste, der fast an jeder Stelle durch die Firewall kommen darf - meistens über designierte lokale DNS-Lookup-Server.

DNS-Traffic ist in Maßen immer präsent und wird weniger streng gefiltert als Web- oder E-Mail-Verkehr. Im Gegensatz zu Web-Traffic hält die Mehrzahl der Netzwerkbetreiber zudem keine detaillierten Aufzeichnungen für DNS Lookups vor und untersucht DNS-Traffic auch nicht. Ein weiterer Vorteil für Angreifer: Die mehr oder weniger zustandslose Natur des Protokolls erlaubt es ihnen, ihre Identität zu verbergen.

Eine DNS-Infrastruktur liefert zentrale Internetdienste. Im Ergebnis ist daher auch immer der Status der verknüpften Internet Domains vom Status der DNS-Server betroffen - ist dieser down oder der Service-Name nicht auflösbar, sind die Internet Domains nicht mehr erreichbar. Malware-Autoren beginnen mittlerweile, die Chancen zu erkennen, die diese Tatsachen mit sich bringen. Sie entwickeln kontinuierlich neue Malware, die über das DNS mit den Bot-Operators, also dem Rechner der die Bots (kleine Computerprogramme) steuert, kommunizieren und Angriffe ausführen kann.

Eine neue Generation von Botnetzen und anderen so genannte Advanced Persistent Threats (APTs) nutzen vermehrt das DNS, um Maschinen zu infizieren und für ihre Zwecke einzusetzen, sowie um ausgeklügelte Netzwerkattacken auszuführen oder andere kriminelle Tätigkeiten zu verstecken.

Zwei Hauptarten von DNS-basierten Angriffen

Zum einen gibt es Angriffe, die hauptsächlich auf die Unterbrechung von DNS-Diensten abzielen, etwa DOS/DDOS-Attacken, Cache Poisoning, Man-in-the-middle-Angriffe (MITM) und Ähnliches. Zum anderen werden DNS-Attacken ausgeführt, um über das DNS Unternehmen auszuspähen und die gewonnenen Daten gewinnbringend zu nutzen, etwa durch Botnetz-Angriffe, Domain Phishing, APTs und Tunneling-Betrug. Beide Bereiche sind wiederum einer Reihe von Gefahren ausgesetzt, die im Folgenden näher erläutert werden.