Sie sind hier: HomeTelekommunikation

DDoS-Schutz: DNS-Sicherheit - jetzt Verantwortung übernehmen!

Heute finden etwa 200 Prozent mehr Infrastruktur-Angriffe auf das Domain-Name-System (DNS) statt als noch 2012. Damit ist ein kritischer Punkt der Unternehmens-Infrastruktur zunehmend exponiert – doch die meisten Firmen ignorieren die Tatsache, dass ihr DNS einer steigenden Gefährdung ausgesetzt ist und über DNS-Security-Maßnahmen nachgedacht werden sollte. Jedes Unternehmensnetzwerk, das Cisco in seinem jährlichen Sicherheitsbericht 2014 untersuchte, war bereits infiltriert. In einer Untersuchung zur IT-Sicherheit in Infrastrukturen gaben mehr als ein Viertel aller befragten Unternehmen offen zu, dass es bei ihnen kein formales Programm für DNS-Sicherheit gebe.

Bildquelle: © fabioberti.it - Fotolia.com

Der Gefahr ins Auge sehen

Etwas mehr als ein Drittel aller Unternehmen wurden 2013 Opfer eines DDoS-Angriffs, der die Unternehmens-DNS-Server lahmlegt. Eine Steigerung um mehr als 30 Prozent in einem Jahr. Die Gefährlichkeit der DDoS-Angriffe liegt darin, dass sie relativ leicht durchzuführen sind, wenn dem Angreifer eine DNS-Infrastruktur zur Verfügung steht. Hacker übernehmen die Kontrolle und nutzen Spoofed-IP-Adressen ihres Ziels, um Anfragen an verschiedene Name-Server im Internet zu senden.

Wären die Antworten ebenso groß wie die Anfragen, so würde das nicht ausreichen, um den geplanten Zusammenbruch herbeizuführen. Die Anfrage muss verstärkt werden, um die größtmögliche Antwort zu erreichen – und seit der Adaption der DNS Security Extensions (DNSSEC) ist dies ohne Probleme möglich. Seit der DNSSEC-Einführung können UDP-basierte DNS-Nachrichten eine vielfach größere Datenmenge transportieren. Eine Anfrage umfasst normalerweise weniger als 100 Bytes; dank der Extension Mechanisms for DNS (EDNS) kann sie auf bis zu 4.096 Bytes aufgeblasen werden.

Um die Effektivität dieser verstärkten Antwortnachrichten als DDoS-Waffe zu demonstrieren, soll dieses Beispiel genügen: Eine einzelne Anfrage von 44 Bytes kann eine Antwort von über 4.000 Bytes generieren, wenn sie von einer Spoof-IP-Adresse an eine Domain mit DNSSEC-Einträgen gesendet wurde. Mit Hilfe eines Botnetzes mit tausenden von Rechnern und zehn Mittätern kann diese einfache Anfrage über ein Gigabyte an Antwortnachrichten verursachen – und das Ziel damit durch Überforderung ausschalten.