Netzwerke wirkungsvoll absichern

DNS-Attacken - Typen und Sicherheitsvorkehrungen

Angriffe, um DNS-Dienste zu unterbrechen

Eine der wichtigsten Angriffsarten nennt sich Cache Poisoning. Bei einem solchen Angriff werden manipulierte DNS-Adressen an den DNS Resolver geschickt, die dann im DNS-Cache gespeichert werden. Ein DNS-Resolver ist im Prinzip ein Name-Server, mit dem Namen in IP-Adressen umgewandelt werden - auf Anfrage eines Nutzers. Ein User, dessen Rechner also eine Adresse sucht und auf den manipulierten Server geleitet wird, akzeptiert so automatisch Inhalte, die von einem eigentlich nicht authorisierten Server kommen. Der Nutzer merkt dann nicht, dass er infizierten Content herunterlädt.

Attacken auf das DNS-Protokoll sind weitere Gefahren. Hier sendet der Angreifer manipulierte DNS-Anfragen oder -Antworten an den DNS-Server, auf den er es abgesehen hat. So können Programmfehler in die Serversoftware gebracht werden. Das kann unter anderen zu missgebildeten Paketen, Code-Einbindung, Pufferüberlauf, Speicherfehlern, NULL-Zeiger Dereferenzierung oder dem Ausnutzen von spezifischen Schwächen führen. Denial of Service (DOS), Cache Poisoning und eine Kompromittierung des Zielservers sind mögliche Konsequenzen.

Unüberwindbar: DNS-Sicherheit muss sowohl externen als auch internen Angriffen standhalten.
Unüberwindbar: DNS-Sicherheit muss sowohl externen als auch internen Angriffen standhalten.
Foto: Infoblox

Weiterhin wichtig sind auch Attacken durch DNS-Umleitung (MITM). Die DNS-Kommunikation erfolgt verbindungslos über das Netzwerkprotokoll User Datagram Protocol. So kann sich ein Angreifer zwischen Sender und Empfänger positionieren, den Datenverkehr kontrollieren und sogar manipulieren (Man-in-the-Middle-Angriffe, MITM). Beispiele für solche Arten von Angriffen sind DNS-Changer (Schadsoftware) oder Angriffe durch unzulässige Umleitungen. Die Hauptmotive für solche Angriffe sind Hacktivismus, Phishing, Webseitenverunstaltung oder Datendiebstahl.

Das sogenannte DNS Tunneling verdankt seinen Namen der Tatsache, dass das DNS als versteckter Kanal genutzt wird, um traditionelle Verteidigungsmechanismen zu umgehen. Ein- und ausgehende Daten werden in kleinen Stücken verschlüsselt und entsprechend in die DNS-Anfragen und -Antworten integriert. Wenn andere Kommunikationswege nicht funktionieren, kann die Malware, die ein Opfer erreicht, denjenigen kontaktieren, der sie kontrolliert, und so gestohlene Daten unbemerkt weitergeben sowie Befehle empfangen und umsetzen.

Beim Domain Phishing wird versucht, eine seriöse Domain zu stehlen und sie zu einer alternativen Domain umzuleiten, die von Hackern kontrolliert wird - das passiert beipielsweise besonders häufig bei Domains von Banken oder Reiseportalen. So können die Hacker sensible Informationen wie Nutzernamen, Passwörter, Sozialversicherungsnummern, PINs und Kreditkartendaten abgreifen. Sobald Hacker diese Daten haben, kann der eigentliche Angriff stattfinden.

In der Praxis: So läuft ein Distributed-Reflection-DoS-Angriff.
In der Praxis: So läuft ein Distributed-Reflection-DoS-Angriff.
Foto: Infoblox

Im vergangenen Jahr sind auch Größe, Geschwindigkeit und Komplexität von DOS- und DDOS-Attacken signifikant angestiegen. Hier lassen sich vor allem zwei Typen ausfindig machen. Zum einen richten sich Angriffe direkt an die Server der DNS-Infrastruktur, dazu gehören etwa Flood-Attacken auf verschiedene Protokolle (zum Beispiel das Internet Control Message Protocol, ICMP), die diese mit Anfragen regelrecht überfluten und so ausschalten; Flood-Attacken gibt es zudem auch auf Anwendungsebene. Smurf-Attacken dagegen sind Angriffe, die von Bot-Netzen ausgelöst werden, nach Auflösung des Namen verlangen, die Quelladresse fälschen und große Mengen von DNS-Anfragen senden, um den DNS-Server damit heillos zu überlasten.

Beim zweiten Typus handelt es sich dagegen um solche Attacken, die einen DNS-Server nutzen, um einen Angriff auszuführen. Amplification ist hier ein Beispiel, bei dem sehr große Datenströme auf den Internetanschluss eines Nutzers geleitet werden, um ihn zu überlasten. Zudem gibt es Reflective-DDOS-Attacken: Bei diesem Szenario nutzt der Angreifer gefälschte DNS-Anfragen und bringt den DNS-Server so dazu, große, nicht angeforderte DNS-Antworten zu senden und die Zielmaschine zu attackieren. Dabei werden nur kleine DNS-Anfragen an viele verschiedene DNS-Server gesendet, sodass diese wahrscheinlich unbemerkt bleiben. Durch die Verstärkung über das DNS werden massive DDOS-Attacken ausgelöst.