DNS-Attacken - Typen und Sicherheitsvorkehrungen

Angriffe, um über das DNS Unternehmen auszuspähen

Das DNS Fast Fluxing ist eine Angriffsart, die von Botnetzen genutzt wird, um damit den Standort von speziellen Webservern unkenntlich zu machen. Fast Fluxing besteht demnach darin, dass IP-Adressen sich schnell und häufig ändern. Das passiert, indem die Gültigkeitsdauer von DNS-Einträgen verkürzt wird. Beim sogenannten Domain Fluxing wird dagegen die Zuteilung von mehreren vollständigen Domain-Namen ständig geändert, sodass diese zu einer einzigen IP-Adresse geleitet werden. Die Bots werden dabei von einem Operator gesteuert, der Command & Control-Server (C&C-Server) genannt wird.

Aktuell gibt es immer mehr Bots, die dynamische Algorithmen nutzen, um solche vollständigen Domain-Namen zu generieren, wenn der Bot Agent versucht, die kontrollierende Server-Infrastruktur zu lokalisieren. Diese werden im Allgemeinen als Domain Generation Algorithm (DGA) Bots bezeichnet.

Häufig anzutreffen sind weiterhin Attacken, mit denen sich Angreifer Netzwerkzugriff verschaffen, der lange nicht entdeckt wird. Diese Advanced Persistent Threats (APTs) bestehen aus fortgeschrittener, beharrlicher Malware, die nur entwickelt und eingesetzt wird, um ein bestimmtes Ziel zu erreichen. Beispiele sind Conficker A/B/C, Torpig, Kraken oder ganz aktuell auch TDSS/TLD4-Malware. Sämtliche Schadprogramme nutzen das DNS, um heimlich mit dem sich woanders befindenden C&C-Server zu kommunizieren und zusätzliche Malware-Pakete sowie Anweisungen zu bekommen, mit denen sie Angriffe ausführen können.