DNS-Attacken
Bei einer DNS-Attacke macht sich ein Angreifer Schwachstellen im DNS-System (Domain Name System) zunutze. Um zu verstehen, wie DNS-Attacken funktionieren, muss man zunächst lernen, wie das Domain Name System funktioniert. DNS ist ein Protokoll, das leicht zu verstehende Domain-Namen wie Searchsecurity.de in die für einen Computer einfach zu verstehende IP-Adresse 206.19.49.154 übersetzt.
Fortsetzung des Inhalts unten
SASE – sicher remote arbeiten: Was Sie wissen müssen
Das sichere Anbinden von Mitarbeitern gehört zu den ganz großen Herausforderungen für Unternehmen. Um die Gesamtsicherheit und das Risikomanagement im Griff zu behalten, sind hier strategische Ansätze, die sich gut verwalten lassen, unabdingbar. SASE (Secure Access Service Edge) soll das alles vereinfachen. Lesen Sie in diesem E-Guide mehr dazu.
Wenn ein Anwender eine Domain-Adresse wie Searchsecurity.de in seinen Browser eintippt, sucht ein Programm in seinem Betriebssystem automatisch die zugehörige IP-Adresse heraus. Man nennt dieses Programm einen DNS-Resolver. Zunächst überprüft der DNS-Resolver in seinem lokalen Cache, ob er über die IP-Adresse für Searchsecurity.de bereits verfügt. Wenn dies nicht der Fall ist, fragt das Programm bei einem DNS-Server an, ob er die korrekte IP-Adresse für die gewünschte Domain kennt. DNS-Server sind rekursiv aufgebaut. Das bedeutet, dass sie bei Anfragen, die sie nicht beantworten können, andere DNS-Server kontaktieren. Am oberen Ende des DNS-Systems stehen so genannte autorative Server. Das CNAME-System (Canonical Mapping) sorgt außerdem dafür, dass einer IP-Adresse mehrere Domain-Namen zugeordnet werden können. Sobald der Resolver die gewünschte IP-Adresse herausgefunden hat, sendet er sie an das Programm, das angefragt hat, und speichert sie außerdem in seinem Cache, um sie für weitere Anfragen bereithalten zu können.
Obwohl das DNS-System relativ robust ist, wurde es doch vor allem für einen stabilen Betrieb ausgelegt und nicht für maximale Sicherheit. Es gibt deswegen heutzutage viele unterschiedliche Möglichkeiten, das DNS-System anzugreifen. Viele dieser Attacken sind sehr komplex und machen sich die Kommunikation zwischen den Clients und den Servern zunutze. Um sich vor DNS-Attacken zu schützen, sollten Administratoren jeweils die aktuellste Version ihrer DNS-Software einspielen, kontinuierlich den Datenverkehr überwachen und ihre Server außerdem so konfigurieren, dass die einzelnen DNS-Funktionen separiert und isoliert sind.
Arten von DNS-Attacken:
Zero-Day-Angriffe: Hier nutzen die Angreifer bislang unbekannte Schwachstellen im DNS-Protokoll oder in der eingesetzten DNS-Software.
Cache Poisoning: In diesem Fall manipuliert der Angreifer das DNS-System, indem er eine IP-Adresse im Cache des Servers mit einer anderen Adresse ersetzt. So kann er etwa Web-Surfer auf eine gefälschte Website umleiten, Daten sammeln oder andere Arten von Angriffen starten. Cache Poisoning wird auch als DNS-Poisoning bezeichnet.
Denial of Service (DoS): Hierbei sendet ein Bot mehr Traffic zu einer bestimmten IP-Adresse, als diese in ihren Datenpuffern verarbeiten kann. Das Ziel kann dann keine legitimen Anfragen mehr beantworten.
Distributed Denial of Service (DDoS): Der Angreifer verwendet ein Botnet, um in kurzer Zeit eine große Zahl von Anfragen an eine Ziel-Adresse zu senden.
DNS Amplification: Weil viele DNS-Server Anfragen, die sie nicht beantworten können, an andere Server weiterreichen, können Angreifer diese Technik dazu verwenden, ihre Attacken weit zu streuen beziehungsweise zu verstärken.
Fast-Flux DNS: In diesem Fall tauscht der Angreifer DNS-Einträge mit hoher Geschwindigkeit aus, um DNS-Anfragen umzuleiten und um dabei nicht entdeckt zu werden.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!
