DNS-Attacken
Bei einer DNS-Attacke macht sich ein Angreifer Schwachstellen im DNS-System (Domain Name System) zunutze. Um zu verstehen, wie DNS-Attacken funktionieren, muss man zunächst lernen, wie das Domain Name System funktioniert. DNS ist ein Protokoll, das leicht zu verstehende Domain-Namen wie ComputerWeekly.de in die für einen Computer einfach zu verstehende IP-Adresse übersetzt.
Wenn ein Anwender eine Domain-Adresse wie ComputerWeekly.de in seinen Browser eintippt, sucht ein Programm in seinem Betriebssystem automatisch die zugehörige IP-Adresse heraus. Man nennt dieses Programm einen DNS-Resolver. Zunächst überprüft der DNS-Resolver in seinem lokalen Cache, ob er über die IP-Adresse für ComputerWeekly.de bereits verfügt. Wenn dies nicht der Fall ist, fragt das Programm bei einem DNS-Server an, ob er die korrekte IP-Adresse für die gewünschte Domain kennt. DNS-Server sind rekursiv aufgebaut. Das bedeutet, dass sie bei Anfragen, die sie nicht beantworten können, andere DNS-Server kontaktieren.
Am oberen Ende des DNS-Systems stehen so genannte autorative Server. Das CNAME-System (Canonical Mapping) sorgt außerdem dafür, dass einer IP-Adresse mehrere Domain-Namen zugeordnet werden können. Sobald der Resolver die gewünschte IP-Adresse herausgefunden hat, sendet er sie an das Programm, das angefragt hat, und speichert sie außerdem in seinem Cache, um sie für weitere Anfragen bereithalten zu können.
Wie DNS-Angriffe vorgehen
Obwohl das DNS-System relativ robust ist, wurde es doch vor allem für einen stabilen Betrieb ausgelegt und nicht für maximale Sicherheit. Es gibt deswegen heutzutage viele unterschiedliche Möglichkeiten, das DNS-System anzugreifen. Viele dieser Attacken sind sehr komplex und machen sich die Kommunikation zwischen den Clients und den Servern zunutze. Eine weitere Angriffsstrategie besteht darin, sich mit gestohlenen Anmeldedaten auf der Website eines DNS-Anbieters anzumelden und DNS-Einträge umzuleiten.
Sich vor DNS-Attacken schützen
Um das Risiko eines DNS-Angriffs zu verringern, sollten Administratoren:
- die neueste Version der DNS-Software verwenden;
- den Datenverkehr konsequent überwachen;
- Server so konfigurieren, dass die verschiedenen DNS-Funktionen dupliziert, getrennt und isoliert werden.
Zudem empfiehlt es sich alles, was mit Änderungen der DNS-Infrastruktur verbunden ist, per Multifaktor-Authentifizierung abzusichern.
Die Verantwortlichen sollten alle Änderungen überwachen, die mit ihren DNS-Einträgen oder digitalen Zertifikaten verbunden sind. Ein weiterer Ansatz ist der Einsatz von DNSSEC (DNS Security Extensions). DNSEC erweitert das Domain Name System unter anderem um eine Authentifizierung.
DNS-Angriffsvektoren
Typische Arten von DNS-Angriffen:
Zero-Day-Angriffe: Hier nutzen die Angreifer bislang unbekannte Schwachstellen im DNS-Protokoll oder in der eingesetzten DNS-Software.
Cache Poisoning: In diesem Fall manipuliert der Angreifer das DNS-System, indem er eine IP-Adresse im Cache des Servers mit einer anderen Adresse ersetzt. So kann er etwa Web-Surfer auf eine gefälschte Website umleiten, Daten sammeln oder andere Arten von Angriffen starten. Cache Poisoning wird auch als DNS-Poisoning bezeichnet.
Denial of Service (DoS): Hierbei sendet ein Bot mehr Traffic zu einer bestimmten IP-Adresse, als diese in ihren Datenpuffern verarbeiten kann. Das Ziel kann dann keine legitimen Anfragen mehr beantworten.
Distributed Denial of Service (DDoS): Der Angreifer verwendet ein Botnet, um in kurzer Zeit eine große Zahl von Anfragen an eine Ziel-Adresse zu senden.
DNS Amplification: Weil viele DNS-Server Anfragen, die sie nicht beantworten können, an andere Server weiterreichen, können Angreifer diese Technik dazu verwenden, ihre Attacken weit zu streuen beziehungsweise zu verstärken.
Fast-Flux DNS: In diesem Fall tauscht der Angreifer DNS-Einträge mit hoher Geschwindigkeit aus, um DNS-Anfragen umzuleiten und um dabei nicht entdeckt zu werden.
