DNS-Attacken
Bei einer DNS-Attacke macht sich ein Angreifer Schwachstellen im DNS-System (Domain Name System) zunutze. Um zu verstehen, wie DNS-Attacken funktionieren, muss man zunächst lernen, wie das Domain Name System funktioniert. DNS ist ein Protokoll, das leicht zu verstehende Domain-Namen wie Searchsecurity.de in die für einen Computer einfach zu verstehende IP-Adresse 206.19.49.154 übersetzt.
Fortsetzung des Inhalts unten
Zero Trust: Misstrauen als Prinzip
Was ist das Zero-Trust-Modell? Alles zur Funktion des Misstrauensprinzips, wie Unternehmen der Einstieg sowie die Umsetzung gelingt und was IT-Teams vor der Implementierung berücksichtigen sollten.
Wenn ein Anwender eine Domain-Adresse wie Searchsecurity.de in seinen Browser eintippt, sucht ein Programm in seinem Betriebssystem automatisch die zugehörige IP-Adresse heraus. Man nennt dieses Programm einen DNS-Resolver. Zunächst überprüft der DNS-Resolver in seinem lokalen Cache, ob er über die IP-Adresse für Searchsecurity.de bereits verfügt. Wenn dies nicht der Fall ist, fragt das Programm bei einem DNS-Server an, ob er die korrekte IP-Adresse für die gewünschte Domain kennt. DNS-Server sind rekursiv aufgebaut. Das bedeutet, dass sie bei Anfragen, die sie nicht beantworten können, andere DNS-Server kontaktieren. Am oberen Ende des DNS-Systems stehen so genannte autorative Server. Das CNAME-System (Canonical Mapping) sorgt außerdem dafür, dass einer IP-Adresse mehrere Domain-Namen zugeordnet werden können. Sobald der Resolver die gewünschte IP-Adresse herausgefunden hat, sendet er sie an das Programm, das angefragt hat, und speichert sie außerdem in seinem Cache, um sie für weitere Anfragen bereithalten zu können.
Obwohl das DNS-System relativ robust ist, wurde es doch vor allem für einen stabilen Betrieb ausgelegt und nicht für maximale Sicherheit. Es gibt deswegen heutzutage viele unterschiedliche Möglichkeiten, das DNS-System anzugreifen. Viele dieser Attacken sind sehr komplex und machen sich die Kommunikation zwischen den Clients und den Servern zunutze. Um sich vor DNS-Attacken zu schützen, sollten Administratoren jeweils die aktuellste Version ihrer DNS-Software einspielen, kontinuierlich den Datenverkehr überwachen und ihre Server außerdem so konfigurieren, dass die einzelnen DNS-Funktionen separiert und isoliert sind.
Arten von DNS-Attacken:
Zero-Day-Angriffe: Hier nutzen die Angreifer bislang unbekannte Schwachstellen im DNS-Protokoll oder in der eingesetzten DNS-Software.
Cache Poisoning: In diesem Fall manipuliert der Angreifer das DNS-System, indem er eine IP-Adresse im Cache des Servers mit einer anderen Adresse ersetzt. So kann er etwa Web-Surfer auf eine gefälschte Website umleiten, Daten sammeln oder andere Arten von Angriffen starten. Cache Poisoning wird auch als DNS-Poisoning bezeichnet.
Denial of Service (DoS): Hierbei sendet ein Bot mehr Traffic zu einer bestimmten IP-Adresse, als diese in ihren Datenpuffern verarbeiten kann. Das Ziel kann dann keine legitimen Anfragen mehr beantworten.
Distributed Denial of Service (DDoS): Der Angreifer verwendet ein Botnet, um in kurzer Zeit eine große Zahl von Anfragen an eine Ziel-Adresse zu senden.
DNS Amplification: Weil viele DNS-Server Anfragen, die sie nicht beantworten können, an andere Server weiterreichen, können Angreifer diese Technik dazu verwenden, ihre Attacken weit zu streuen beziehungsweise zu verstärken.
Fast-Flux DNS: In diesem Fall tauscht der Angreifer DNS-Einträge mit hoher Geschwindigkeit aus, um DNS-Anfragen umzuleiten und um dabei nicht entdeckt zu werden.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!
