DNS-Angriffe können das gesamte Netzwerk eines Unternehmens stören. Sie sind in der Lage, den Betrieb für mehrere Tage lahmzulegen und bedeutende Verluste zu verursachen: Nichtverfügbarkeit der Website und der Cloud-Dienste des Unternehmens, Infektionen durch Malware… Durch das Verständnis der Mechanismen dieser Angriffe und das Ergreifen geeigneter Präventionsmaßnahmen ist es möglich, die Infrastruktur effektiv zu schützen.
Im Oktober 2016 waren die Websites von Spotify, Netflix, Twitter und Amazon in den USA für 10 Stunden nicht erreichbar. Zu den anderen betroffenen großen Firmen zählten The New York Times und Microsoft. Allerdings war das IT-System dieser Unternehmen keineswegs die Ursache. Der Angreifer nutzte einfach eine Sicherheitslücke des DNS-Servers aus.
Diese DNS-Angriffe stellen eine ernsthafte Schwachstelle der webbezogenen Infrastruktur dar. Im Jahr 2020 sollen sie 83 % der Unternehmen in Frankreich betroffen haben. Was genau ist das?
Was ist das DNS?
Das DNS oder Domain Name System ermöglicht die Zuordnung einer Website-Adresse wie madonna.com zur entsprechenden IP-Adresse, also einer Zahlenfolge, die durch Punkte getrennt ist.
Der Ort, an dem die Umwandlung stattfindet, ist ein DNS-Server. In Frankreich werden die wichtigsten Referenz-DNS-Server von Free, Orange, SFR und Bouygues Telecom verwaltet. Es gibt auch kostenlose Alternativen wie Google Public DNS, CloudFlare und OpenDNS.
Wie läuft das in der Praxis ab? Wenn ein Internetnutzer „madonna.com“ in seinen Browser eingibt, wird dieser Ausdruck an einen DNS-Server gesendet, der ihn in eine IP übersetzt: 3.33.139.232.
Die Schritte sind folgende:
- Der DNS-Resolver sucht die IP-Adresse in seiner Datenbank oder auch in seinem lokalen Cache auf. Das Caching ist eine häufig im Web verwendete Technik zur Reduzierung von Ladezeiten: Der Cache speichert eine Kopie der am häufigsten besuchten Seiten und liefert sie direkt an den Benutzer.
- Wenn der DNS-Resolver die IP-Adresse nicht findet, fragt der DNS-Resolver andere DNS-Server, insbesondere einen Referenz-DNS-Server, ab.
- Sobald die IP-Adresse gefunden ist, kommuniziert der Resolver sie an den Webbrowser. Er speichert sie auch in seinem lokalen Cache, um sie einem anderen Internetnutzer schnell zur Verfügung zu stellen, der die gleiche Anfrage machen würde.
Bei dem im Oktober 2016 erwähnten Ausfall, der Websites wie Amazon, Twitter, Netflix und Spotify betraf, war der Angriff auf die DNS-Server eines großen amerikanischen Akteurs, Dyn, die Ursache. Es handelte sich um einen DDoS-Angriff – weitere Erklärungen weiter unten.
Warum ist das DNS anfällig?
Das DNS-System wurde im Wesentlichen im Hinblick auf Benutzerfreundlichkeit konzipiert, um präzise und effizient auf Anfragen zu antworten. Sicherheit wurde in seiner Konzeption nicht integriert. Das DNS-Protokoll basiert auf unverschlüsselten Übertragungen, was das Abfangen und Fälschen von Anfragen erleichtern kann. Daher ist das DNS zu einem bevorzugten Vektor für Cyberangriffe geworden.
Wie funktionieren DNS-Angriffe?
DNS-Angriffe nutzen die Schwachstellen des Domain Name Systems (DNS) aus. Meistens fängt der Angreifer eine DNS-Anfrage ab und sendet eine gefälschte Antwort, bevor der legitime DNS-Server geantwortet hat.
Die wichtigsten Arten von DNS-Angriffen
DNS-Cache-Poisoning-Angriff
Diese Technik zielt darauf ab, Benutzer auf eine gefälschte Webplattform umzuleiten. Die hier ausgenutzte Lücke ist der DNS-Cache. Falsche IP-Adressen werden dort injiziert, was ausreichen kann, um Zehntausende von Benutzern zu beeinflussen.
Der Besucher gibt eine Adresse ein, z. B. die einer Online-E-Commerce-Seite, und wird auf eine betrügerische Seite umgeleitet. Sein Benutzername und Passwort können so gestohlen werden.
Amplification-DDoS-Angriff
Diese Art von Angriff zielt hauptsächlich auf Websites mit sehr hoher Besucherzahl ab, wie die von Sony oder Microsoft. Ein Distributed-Denial-of-Service-(DDoS)-Angriff zielt darauf ab, einen Online-Dienst unzugänglich zu machen, indem er mit Verkehr von mehreren Quellen überflutet wird. Einer der beeindruckendsten DDoS-Angriffe aller Zeiten fand statt, als Cloudflare 2022 26 Millionen Anfragen pro Sekunde erhielt.
Bei einem DDoS-Amplification-Angriff nutzt der Angreifer offene Server, um das Verkehrsvolumen zur Zieladresse zu verstärken und diese zu überfluten. Der Angreifer veranlasst über ein Botnetz ein Netz von infizierten Computern, tausende von Anfragen zu senden, was zu einem Systemausfall führen kann.
DNS-Entführung
Die DNS-Aufzeichnungen werden manipuliert, um DNS-Anfragen zu anderen Zielen umzuleiten. Zu den eingesetzten Methoden gehört die Kompromittierung der DNS-Server oder der Man-in-the-Middle-Angriff – der Hacker fängt DNS-Anfragen ab und verändert sie.
TCP-SYN-Flood
Dies ist eine weitere Art von Denial-of-Service-Angriff: Der Angreifer sendet eine sehr schnelle Folge von SYN-Anfragen (eine Nachricht, die im TCP-Protokoll zur Herstellung einer Verbindung zwischen zwei Computern verwendet wird), um den Server zu überfordern und ihn daran zu hindern, auf legitimen Verkehr zu reagieren.
Domain Generation Algorithm (DGA)-Angriff
Der Angreifer generiert viele zufällige Domainnamen, um die Erkennung zu umgehen und die Verbreitung von Malware zu unterstützen.
Ablenkungsangriff
Der Angreifer manipuliert das DNS, um eine Ablenkung zu schaffen und so die Aufmerksamkeit der Sicherheitssysteme wegzuleiten. Das Ziel ist es, unmittelbar danach einen weitaus schädlicheren Angriff durchzuführen.
Wie kann man DNS-Angriffe verhindern?
DNSSEC implementieren
DNSSEC (Domain Name System Security Extensions) ist eine Erweiterung, die eine Schicht der Authentifizierung und Integrität zu DNS-Antworten hinzufügt. Sie verwendet digitale Signaturen, um die DNS-Daten zu authentifizieren.
Protokollierung
Durch die Protokollierung der an die DNS-Server gerichteten Anfragen ist es möglich, Anomalien zu erkennen und eine gründliche Analyse durchzuführen.
Zugriffsbeschränkung
Indem man die Nutzung von DNS-Resolvern auf eine Reihe von Benutzern einschränkt, die als gültig identifiziert wurden, kann man ein Cache-Poisoning verhindern.
Sicherung der DNS-Daten
Kopien, die auf anderen Servern gespeichert sind, helfen dabei, die Daten eines kompromittierten DNS-Servers leicht zu ersetzen.
Bereitstellung eines dedizierten DNS-Schutzes
Der Abschluss eines DNS-Sicherheitsvertrags bei einem Drittdienstleister ist oft ratsam.
