Wenn Sie vor ein paar Wochen nicht am Internet hingen, haben Sie vielleicht den massiven Ausfall verpasst, der die Ostküste am 21. Oktober traf. 21
Viele beliebte Websites wie Twitter, Reddit, Netflix, Etsy und Spotify waren für Tausende von Nutzern unzugänglich.
Experten haben inzwischen erklärt, dass der Ausfall das Ergebnis eines massiven Angriffs auf die DNS-Dienste von Dyn, einem Internet-Infrastrukturunternehmen, war.
Die Besorgnis über DNS-Angriffe war bei vielen Unternehmen und IT-Firmen gleichermaßen groß – aber das könnte sich jetzt ändern.
Unternehmen wie Google, die New York Times und mehrere Banken sind in den letzten Jahren Opfer einer Vielzahl von DNS-Angriffen geworden.
Wenn ähnliche Angriffe kommen, auf welche Arten sollten Sie achten?
Angriff Nr. 1: DNS-Vergiftung und Spoofing
DNS-Vergiftung kann dazu führen, dass Benutzer auf eine falsche Website geleitet werden. Beispielsweise kann ein Benutzer „msn.com“ in einen Webbrowser eingeben, aber stattdessen wird eine vom Angreifer ausgewählte Seite geladen.
Da die Benutzer den richtigen Domänennamen eingeben, erkennen sie möglicherweise nicht, dass die Website, die sie besuchen, gefälscht ist.
Das schafft eine perfekte Gelegenheit für Angreifer, Phishing-Techniken einzusetzen, um Informationen von ahnungslosen Opfern abzugreifen – seien es Anmeldedaten oder Kreditkarteninformationen.
Der Angriff kann verheerend sein, was von mehreren Faktoren abhängt, einschließlich der Absicht des Angreifers und des Umfangs der DNS-Vergiftung.
Wie gehen Angreifer dabei vor? Indem sie das DNS-Caching-System ausnutzen.
Trickle-down-DNS-Caching
DNS-Caching wird im gesamten Web eingesetzt, um die Ladezeiten zu beschleunigen und die Belastung der DNS-Server zu verringern. Kurz gesagt, sobald ein System einen DNS-Server abfragt und eine Antwort erhält, speichert es die Informationen in einem lokalen Cache, um schneller darauf zugreifen zu können.
Dieser Ansatz wird im gesamten Web nach dem Trickle-Down-Prinzip verwendet. Die Einträge auf einem DNS-Server werden verwendet, um Einträge auf einem anderen DNS-Server zu cachen. Dieser Server wird verwendet, um DNS-Einträge auf Netzwerksystemen wie Routern zwischenzuspeichern. Diese Datensätze werden verwendet, um Caches auf lokalen Rechnern zu erstellen.
Vergiftete DNS-Caches
DNS-Poisoning tritt auf, wenn einer dieser Caches kompromittiert wird.
Wenn beispielsweise der Cache eines Netzwerkrouters kompromittiert wird, kann jeder, der ihn benutzt, auf eine betrügerische Website umgeleitet werden. Die falschen DNS-Einträge sickern dann in die DNS-Caches auf den Rechnern der einzelnen Benutzer ein.
Dies kann auch auf höheren Ebenen der Kette geschehen.
So kann beispielsweise ein großer DNS-Server kompromittiert werden. Dadurch können die Caches von DNS-Servern vergiftet werden, die von Internetdienstanbietern unterhalten werden. Das Gift kann bis zu den Netzwerksystemen und -geräten der Kunden durchsickern und möglicherweise Millionen von Menschen auf von einem Angreifer ausgewählte Websites umleiten.
Klingt das verrückt? Ist es aber nicht. Im Jahr 2010 wurden Internetnutzer in den USA für Websites wie Facebook und YouTube gesperrt, weil ein DNS-Server eines hochrangigen Internetanbieters versehentlich Datensätze von der Great Firewall of China abgerufen hatte.
Gegenmittel für das Gift
DNS-Cache-Vergiftung ist sehr schwer zu erkennen. Es kann so lange dauern, bis die TTL (Time to Live) für die zwischengespeicherten Daten abläuft oder ein Administrator das Problem erkennt und behebt.
Abhängig von der Dauer der TTL kann es Tage dauern, bis die Server das Problem von selbst beheben.
Zu den besten Methoden zur Verhinderung eines DNS-Cache-Poisoning-Angriffs gehören regelmäßige Programmaktualisierungen, die Einstellung kurzer TTL-Zeiten und das regelmäßige Löschen der DNS-Caches lokaler Rechner und Netzwerksysteme.
Angriff #2: DNS-Amplifikation für DDoS
DNS-Amplifikationsangriffe sind keine Bedrohungen für die DNS-Systeme. Stattdessen nutzen sie die Offenheit von DNS-Diensten aus, um die Stärke von DDoS-Angriffen (Distributed Denial of Service) zu verstärken.
DDoS-Angriffe stehen nicht selten im Rampenlicht und zielen auf bekannte Websites wie BBC, Microsoft, Sony und Krebs on Security.
Aufstocken und verstärken
DDoS-Angriffe erfolgen in der Regel über ein Botnet. Der Angreifer nutzt ein Netzwerk aus mit Malware infizierten Computern, um große Mengen an Datenverkehr an ein Ziel, z. B. einen Server, zu senden. Ziel ist es, das Ziel zu überlasten und es zu verlangsamen oder zum Absturz zu bringen.
Amplifikationsangriffe sind noch wirkungsvoller. Anstatt den Datenverkehr direkt von einem Botnet an ein Opfer zu senden, sendet das Botnet Anfragen an andere Systeme. Diese Systeme reagieren darauf, indem sie noch größere Datenmengen an das Opfer senden.
DNS-Verstärkungsangriffe sind ein perfektes Beispiel. Die Angreifer verwenden ein Botnet, um Tausende von Suchanfragen an offene DNS-Server zu senden. Die Anfragen haben eine gefälschte Quelladresse und sind so konfiguriert, dass die von den einzelnen DNS-Servern zurückgegebene Datenmenge maximiert wird.
Das Ergebnis: Ein Angreifer sendet relativ kleine Mengen an Datenverkehr von einem Botnet und erzeugt proportional größere – oder „verstärkte“ – Datenmengen von DNS-Servern. Der verstärkte Datenverkehr wird an ein Opfer weitergeleitet, wodurch das System ins Stocken gerät.
Abwehren und verteidigen
UTM-Firewalls können so konfiguriert werden, dass sie DDoS-Angriffe erkennen und stoppen, sobald sie auftreten, indem sie künstliche Pakete, die versuchen, Systeme im Netzwerk zu überfluten, abweisen.
Eine weitere Möglichkeit, DDoS-Angriffe zu bekämpfen, besteht darin, die Architektur Ihres Kunden auf mehreren Servern zu hosten. Wenn ein Server überlastet wird, ist ein anderer Server immer noch verfügbar.
Wenn der Angriff klein ist, können die IP-Adressen, die den Datenverkehr senden, blockiert werden. Außerdem kann eine Erhöhung der Bandbreite des Servers einen Angriff abfangen.
Es gibt auch viele spezielle, kostenpflichtige Lösungen, die ausschließlich für die Bekämpfung von DDoS-Angriffen konzipiert sind.
Angriff #3: DNS wird von DDoS angegriffen
DDoS-Angriffe können gegen viele verschiedene Arten von Systemen eingesetzt werden. Dazu gehören auch DNS-Server.
Ein erfolgreicher DDoS-Angriff auf einen DNS-Server kann dazu führen, dass dieser zusammenbricht und die Benutzer, die sich auf den Server verlassen, nicht mehr im Internet surfen können (Hinweis: Die Benutzer können wahrscheinlich immer noch Websites erreichen, die sie kürzlich besucht haben, vorausgesetzt, der DNS-Datensatz ist in einem lokalen Cache gespeichert).
Das ist mit den DNS-Diensten von Dyn passiert, wie in der Einleitung dieses Beitrags beschrieben. Ein DDoS-Angriff überforderte die Systeme des Unternehmens und brachte sie zum Absturz, so dass Tausende von Menschen nicht mehr auf wichtige Websites zugreifen konnten.
Wie Sie sich gegen diese Angriffe schützen können, hängt von der Rolle Ihrer Systeme in der Umgebung ab.
Hosten Sie zum Beispiel einen DNS-Server? In diesem Fall können Sie Maßnahmen ergreifen, um ihn zu schützen, z. B. indem Sie ihn gepatcht halten und nur lokalen Rechnern den Zugriff darauf erlauben.
Vielleicht versuchen Sie, den angegriffenen DNS-Server zu erreichen? In diesem Fall werden Sie wahrscheinlich Probleme haben, eine Verbindung herzustellen.
Deshalb ist es eine gute Idee, Ihre Systeme so zu konfigurieren, dass sie auf mehr als einen DNS-Server angewiesen sind. Wenn der primäre Server ausfällt, können Sie auf einen anderen zurückgreifen.
Wir empfehlen die kostenlosen öffentlichen DNS-Server von Google: 8.8.8.8 und 8.8.4.4. Anleitungen sind auch für IPv6-Adressen verfügbar.
Angriffe verhindern und abschwächen
DNS-Server-Angriffe sind ein großes Netzwerksicherheitsrisiko und sollten ernst genommen werden. Sowohl Unternehmen als auch IT-Firmen müssen Schutzmaßnahmen einführen, um die Auswirkungen eines solchen Angriffs zu verhindern oder zu verringern, falls sie jemals Opfer eines solchen Angriffs werden sollten.
Aufgrund solcher Angriffe hat die ICANN begonnen, diese Risiken mit DNSSEC, einer aufkommenden Technologie zur Verhinderung von DNS-Server-Angriffen, zu betonen.
DNSSEC funktioniert derzeit, indem jede DNS-Anfrage mit einer zertifizierten Signatur „signiert“ wird, um die Authentizität sicherzustellen. Dies hilft den Servern, gefälschte Anfragen auszusortieren.
Der einzige Nachteil dieser Technologie ist die Tatsache, dass sie auf allen Stufen des DNS-Protokolls implementiert werden muss, um richtig zu funktionieren – was langsam aber sicher geschieht.
Ein Auge auf die sich entwickelnde Technologie wie DNSSEC zu haben und über die neuesten DNS-Angriffe auf dem Laufenden zu bleiben, ist eine gute Möglichkeit, der Zeit voraus zu sein.