Die Macht der Namen: Angriffe auf DNS-Server

Autoritative DNS-Server

Autoritative DNS-Server verwalten die tatsächliche Zuordnung zwischen IP-Adressen und menschenfreundlichen Namen für Internet-Server, Anwendungen, Dienste und andere Online-Ressourcen, die mit organisatorischen DNS-Domänen wie Beispiel.com, Beispiel.net und so weiter verbunden sind. Ohne sie ist es für normale Benutzer nahezu unmöglich, die Online-Präsenz und die Ressourcen einer bestimmten Organisation zu finden und darauf zuzugreifen. Sie sind entweder im Besitz von Organisationen und werden direkt von ihnen betrieben, um den Zugang zu ihren Online-Eigenschaften zu ermöglichen, oder sie werden in ihrem Namen von Autorisierenden DNS-Hosts betrieben.

Rekursive DNS-Server

Rekursive DNS-Server stellen im Namen von Benutzer-Workstations, Mobiltelefonen, Spielkonsolen und anderen Gerätetypen Anfragen an autoritative DNS-Server, um die IP-Adressen der Internet-Server, -Anwendungen und -Dienste zu ermitteln, auf die sie zugreifen möchten. Diese rekursiven DNS-Server werden in der Regel von Internet-Diensteanbietern mit Breitbandzugang und von Unternehmen unterhalten und betrieben, um ihren Endkunden DNS-Namensauflösungsdienste anzubieten, obwohl die Nutzung einiger bekannter öffentlicher Rekursiver DNS-Dienste wie Google DNS, Quad9, Open DNS etc. allen Internetnutzern kostenlos zur Verfügung gestellt wird.

DDoS-Angriffe auf DNS-Server

Da DNS-Name-Resolution-Dienste sowohl für die Aufrechterhaltung einer Internetpräsenz als auch für den Zugriff auf Online-Ressourcen erforderlich sind, sind sowohl Autorisierende als auch Rekursive DNS-Server häufig das Ziel störender DDoS-Angriffe; und wie bei so vielen Arten von Online-Diensten können auch unverteidigte DNS-Server missbraucht werden, um DDoS-Angriffe (Distributed Denial-of-Service) gegen jede Organisation im Internet zu starten, auch gegen die ihrer Eigentümer und Betreiber.

Angreifer, die den Zugang zu Anwendungen, Diensten oder Inhalten im Internet stören wollen, starten häufig DDoS-Angriffe gegen die Plattformen und die Infrastruktur, die direkt an der Bereitstellung im Internet beteiligt sind. Entsprechend konzentrieren sich Unternehmen, die sich gegen DDoS-Angriffe verteidigen, in der Regel auf den Schutz dieser offensichtlichen Elemente der Dienstbereitstellungskette. Geschickte Angreifer wissen jedoch, dass es genauso effektiv sein kann, legitime Benutzer daran zu hindern, die DNS-Namen der Objekte aufzulösen, auf die sie zugreifen möchten, zumal die Verteidiger häufig versäumen, die Autorisierenden DNS-Server für ihre Domänen in ihre DDoS-Abwehrpläne einzubeziehen.

Ähnlich wie bei Autorisierenden DNS-Servern, die bei Reflection/Amplification-Angriffen missbraucht werden, werden auch Rekursive Server, die bei diesen Angriffen oder bei DNS-Water-Torture-Angriffen eingesetzt werden, durch den Angriffsverkehr beeinträchtigt, was häufig zu weitreichenden kollateralen Internetausfällen bei Internet-Diensteanbietern, Unternehmen und einzelnen Nutzern führt, die zwar nicht die beabsichtigten Ziele des Angriffs sind, aber dennoch in den Bereich der kollateralen Schäden fallen.

„Neben der Einhaltung solider architektonischer, skalierender und betrieblicher Best Practices müssen sowohl autoritative als auch rekursive Server gegen DDoS-Angriffe geschützt werden.“

Karl Heuser, Netscout

Missbräuchliche rekursive DNS-Server werden auch ständig bei DNS-Query-Flood-Angriffen gegen diese autoritativen DNS-Server eingesetzt, wobei DNS-Water-Torture-Angriffe in diesem Zusammenhang der beliebteste DDoS-Vektor sind. Bei diesen Angriffen werden hohe Raten von pseudozufällig generierten oder wörterbuchgesteuerten Abfragen nach nichtexistierenden Einträgen an die autoritativen DNS-Server der Zielorganisation gesendet. Diese Form des Angriffs ist besonders effektiv, da sie sowohl die in die autoritative DNS-Infrastruktur integrierten DNS-Caching-Mechanismen untergräbt als auch die angegriffenen autoritativen DNS-Server dazu zwingt, große Mengen negativer DNS-Antworten, so genannter NXDOMAIN-Antworten, zu erzeugen.

DNS-Server schützen

Noch einmal, wenn es keinen funktionierenden autoritativen DNS-Dienst gibt, ist die Internetpräsenz des angegriffenen Unternehmens nicht mehr vorhanden. Das gesamte Unternehmen ist im Grunde genommen vom Internet abgeschnitten, und zwar so lange, bis der Angriff abgewehrt ist oder der Angreifer nach Erreichen des beabsichtigten Effekts eine Pause einlegt.

Neben der Einhaltung solider architektonischer, skalierender und betrieblicher Best Practices (BCPs) müssen sowohl autoritative als auch rekursive Server gegen DDoS-Angriffe geschützt werden. Insbesondere die Dualität von DNS-Diensten als Ziel und Ermöglicher von DNS-DDoS-Angriffen macht es erforderlich, dass Unternehmen mit DDoS-Lösungsanbietern zusammenarbeiten, die nicht nur ihre eigenen Angebote genau kennen, sondern auch nachweislich über Fachwissen und Erfahrung bei der erfolgreichen Abwehr von DNS-Infrastrukturen gegen Angriffe im Internet-Maßstab verfügen und alle Nuancen und Auswirkungen der DNS-Architektur und -Operationen als Eckpfeiler einer widerstandsfähigen Internetpräsenz und einer globalen Dienstleistungskette verstehen.

Über den Autor:
Karl Heuser ist Business Manager Security – Enterprise (DACH & EEUR) bei Netscout.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.