Was sind DNS-Angriffe und wie verhindern Sie sie?
DNS-Angriffe (Domain Name System) sind weit verbreitet, und jedes Jahr werden Hunderte von Websites Opfer dieser Art von Angriffen.
Um ein Netzwerk vor dieser Kategorie von Exploits zu schützen, ist es wichtig, die verschiedenen Arten von DNS-Angriffen sowie die besten Methoden zur Schadensbegrenzung zu kennen.
Was ist DNS?
Domain Name System (DNS) ist ein strukturiertes Namenssystem, das von Internetgeräten zum Auffinden von Online-Ressourcen verwendet wird. Das heißt, jede Website im Internet hat eine eindeutige IP-Adresse (Internet Protocol), aber es wäre für Menschen schwieriger, jede Website anhand ihrer IP-Adressen abzurufen, da sie alphanumerisch sind.
Wenn es um die DNS-Infrastruktur geht, besteht das System aus zwei Hauptkomponenten: autorisierenden Servern, auf denen die IP-Informationen gehostet werden, und rekursiven Servern, die an der Suche nach IP-Informationen beteiligt sind.
DNS-Angriffe können gegen beide eingesetzt werden.
Arten von DNS-Angriffen
Angreifer verwenden normalerweise eine Vielzahl von Techniken, um die DNS-Funktionalität zu stören. Das Folgende ist eine Übersicht über einige der gebräuchlichsten Methoden.
1. DNS-Überschwemmungen
Eine DNS-Flut verwendet DDoS-Angriffsvektoren (Distributed Denial of Service), um auf Domain Name System-Server abzuzielen, und wird verwendet, um den Zugriff auf bestimmte Domänen zu unterbrechen.
Angreifer verwenden DNS-Floods, um rekursive DNS-Server mit einer Wand aus unzulässigen Anforderungen zu überschwemmen, sodass sie legitime Abfragen nicht angemessen verarbeiten können.
Sie beziehen normalerweise Datenverkehr von einer Vielzahl von Standorten, Geräten und IPs, was es schwierig macht, zwischen normalem und "generiertem" Datenverkehr zu unterscheiden.
Botnets, die Tausende von IoT- und gehackten Computern steuern, werden normalerweise für das Schema genutzt, und ihre Quell-IP-Adressen werden mithilfe von Skripten gefälscht.
Linderungsmaßnahmen
Es gibt zahlreiche Möglichkeiten, Domain-Flood-Angriffe zu verhindern. Dazu gehört die Installation von IP-Überprüfungsprotokollen. Hierfür eignen sich Systeme zur Erkennung und Blockierung von Anomalien beim maschinellen Lernen.
Wenn das Problem besonders schwerwiegend ist und solche Abhörmaßnahmen fehlen, wird das Problem durch Deaktivieren rekursiver DNS-Server gemindert, indem mehr Relays verhindert werden.
Eine weitere Möglichkeit, das Problem zu lösen, besteht darin, Anfragen nur auf Anfragen von autorisierten Clients zu beschränken. Eine RRL-Konfiguration (Low Response Rate Limiting) auf den autorisierenden Servern funktioniert ebenfalls.
2. DNS-Cache-Vergiftung
Bei einer DNS-Cache-Vergiftung werden DNS-Server von böswilligen Entitäten manipuliert, um den Datenverkehr von legitimen Servern wegzuleiten. Es ist im Grunde ein Server-zu-Server-Trick.
Ein Angreifer kann beispielsweise die Informationen auf dem Instagram-DNS-Server so ändern, dass sie auf die Twitter-IP verweisen. In den meisten Fällen führen die Weiterleitungen Besucher zu Websites, die von Hackern kontrolliert werden, auf denen Phishing-, XSS- und andere Schwachstellenangriffe ausgeführt werden.
In einigen Fällen können die Angriffe durch gezielte Ausrichtung auf Internetdienstanbieter skaliert werden, insbesondere wenn mehrere von ihnen auf bestimmte Server angewiesen sind, um DNS-Daten abzurufen. Sobald die Primärserver kompromittiert sind, wird die Infektion systematisch und kann sich auf die mit den Netzwerken verbundenen Router der Kunden auswirken.
Linderungsmaßnahmen
Um diese Art von Angriffen zu verhindern, sollten DNS-Server so konfiguriert werden, dass sie weniger auf Server außerhalb des Netzwerks angewiesen sind. Dies verhindert, dass Angreifer-DNS-Server mit den Zielservern kommunizieren.
Die Installation der neuesten BIND-Version auf dem Server hilft ebenfalls. Dies liegt daran, dass die aktualisierten Versionen über kryptografisch gesicherte Transaktionstechnologien und Port-Randomisierungsfunktionen verfügen, die die Angriffe abwehren.
Schließlich können die Angriffe verhindert werden, indem die DNS-Antworten so eingeschränkt werden, dass nur bestimmte Informationen über die abgefragte Domäne bereitgestellt werden, und einfach "JEDE" Anforderungen ignoriert werden. Wenn Sie auf JEDE Anfrage antworten, wird der DNS-Resolver gezwungen, weitere Informationen über die angeforderte Domain zu erhalten. Dies umfasst MX-Datensätze, A-Datensätze und mehr. Die zusätzlichen Informationen verbrauchen mehr Systemressourcen und erhöhen die Größe des Angriffs.
3. DRDoS-Angriffe (Distributed Reflection Denial of Service)
DRDoS-Angriffe (Distributed Reflective Denial of Service) versuchen, die DNS-Infrastruktur zu überfordern, indem sie eine große Anzahl von UDP-Anforderungen (User Datagram Protocol) senden.
Dazu werden normalerweise kompromittierte Endpunkte verwendet. Die UDP-Pakete arbeiten über IPs, um Anforderungen an einen DNS-Resolver zu stellen. Die Strategie wird bevorzugt, da für das UDP-Kommunikationsprotokoll keine Zustellbestätigungsanforderungen gelten und die Anforderungen auch dupliziert werden können. Dies macht es einfach, eine DNS-Überlastung zu erstellen.
In diesem Fall versuchen gezielte DNS-Resolver, auf gefälschte Anforderungen zu antworten, müssen jedoch eine große Anzahl von Fehlerantworten ausgeben und werden am Ende überfordert.
Linderungsmaßnahmen
DRDoS-Angriffe (Distributed Reflection Denial of Service) sind eine Form von DDoS-Angriffen. Um dies zu verhindern, sollte die Filterung des Eingangsnetzwerks angewendet werden, um Spoofing zu verhindern. Da Abfragen DNS-Resolver durchlaufen, können Sie das Problem beheben, indem Sie sie so konfigurieren, dass nur Anforderungen von bestimmten IP-Adressen aufgelöst werden.
Dies beinhaltet normalerweise das Deaktivieren der offenen Rekursion, wodurch DNS-Angriffslücken verringert werden. Durch die offene Rekursion akzeptiert der Server DNS-Anforderungen von einer beliebigen IP-Adresse. Dadurch wird die Infrastruktur für Angreifer geöffnet.
Durch das Einrichten von RRL (Response Rate Limiting) wird auch die Häufigkeit von DRDoS-Vorfällen verhindert. Dies kann erreicht werden, indem eine Höchstgrenze festgelegt wird. Dieser Mechanismus verhindert, dass der autorisierende Server übermäßig viele Abfragen verarbeitet.
4. NXDOMAIN-Angriffe
Bei einem NXDOMAIN-DNS-Angriff wird der Zielserver mit ungültigen Datensatzanforderungen überschwemmt. In dieser Instanz werden normalerweise DNS-Proxyserver (Resolver) als Ziel ausgewählt. Ihre Aufgabe besteht darin, autorisierende DNS-Server auf der Suche nach Domäneninformationen abzufragen.
Die ungültigen Anforderungen greifen den DNS-Proxy und die autorisierenden Server an und lösen NXDOMAIN-Fehlerantworten aus und verursachen Probleme mit der Netzwerklatenz. Die Flut von Anforderungen führt schließlich zu Leistungsproblemen mit dem DNS-System.
Linderungsmaßnahmen
NXDOMAIN-DNS-Angriffe können verhindert werden, indem der Server im Laufe der Zeit mehr Cache-Informationen zu gültigen Anforderungen behält. Diese Konfiguration stellt sicher, dass auch während eines Angriffs legitime Anforderungen durchkommen können, ohne dass ein zusätzliches Caching erforderlich ist. Somit können die angeforderten Informationen leicht abgerufen werden.
Verdächtige Domänen und Server, die im Schema verwendet werden, können ebenfalls blockiert werden, wodurch Ressourcen frei werden.
5. Phantomdomänenangriffe
Bei der Ausführung eines Phantomdomänenangriffs konfiguriert der Angreifer zunächst eine Gruppe von Domänen so, dass sie nicht oder nur sehr langsam reagieren, sobald sie eine DNS-Abfrage erhalten. In dieser Instanz werden rekursive Server als Ziel ausgewählt.
Sie werden mit einer großen Anzahl sich wiederholender Anfragen angesprochen, die die Phantomdomänen abfragen. Die langen Antwortpausen führen zu einem Rückstand ungelöster Anforderungen, die das Netzwerk überlasten und wertvolle Serverressourcen beanspruchen. Letztendlich verhindert das Schema, dass legitime DNS-Anforderungen verarbeitet werden, und verhindert, dass Benutzer auf die Zieldomänen zugreifen.
Linderungsmaßnahmen
Um Phantomdomänenangriffe abzuschwächen, hilft es, die Anzahl aufeinanderfolgender rekursiver Anforderungen auf jedem Server zu begrenzen. Sie können pro Zone weiter begrenzt werden.
Durch Aktivieren des Holddowns auf dem DNS-Server für Anforderungen an nicht reagierende Server wird auch verhindert, dass das System überlastet wird. Die Funktion begrenzt die Anzahl aufeinanderfolgender Versuche, Server nicht mehr zu reagieren, sobald sie einen bestimmten Schwellenwert erreichen.
Das Erhöhen der Anzahl rekursiver Server funktioniert ebenfalls.
Schützen Sie sich vor DNS-Gefahren
Jedes Jahr entwickeln DNS-Angreifer eine Reihe unheimlicher Tricks, um kritische Online-Infrastrukturen auszuschalten, und der Schaden kann enorm sein.
Für Einzelpersonen und Unternehmen, die sich stark auf Online-Domains verlassen, tragen die Befolgung der Best-Practice-Richtlinien und die Installation der neuesten DNS-Verhinderungstechnologien wesentlich dazu bei, diese zu verhindern.