DDoS-Attacken abwehren

Wie Unternehmen ihr DNS schützen

DDoS-Attacken erkennen und vorsorgen

Als Erstes muss es registrieren, wenn (und wann) sich ein solcher Angriff ereignet. Viele Unternehmen wissen nicht, wie groß ihre reguläre Anfragemenge ist. So merken sie dann auch nicht, wenn der Normalfall deutlich überschritten wird und sie angegriffen werden. Dafür gibt es die DNS-Software BIND, mit der Statistiken eben dazu abgerufen werden können. Administratoren können also genau analysieren, wie viele Anfragen durchschnittlich über die eigenen IP-Adressen gestellt werden - und darüber auch erkennen, wenn es ungewöhnliche Ausschläge gibt, die durch einen DDoS-Angriff hervorgerufen worden sind. Auch wenn nicht immer ganz klar ist, wie ein solcher Angriff aussehen könnte, hilft die Statistik dabei, einen Durchschnitt festzulegen und Anomalien schnell zu erkennen.

Zudem sollten Unternehmen auch jede Komponente ihrer Infrastruktur ganz gezielt und aktiv auf Schwachstellen überprüfen - vor allem jene, die direkt mit dem Internet verbunden sind. Dazu zählen nicht nur die externen autoritativen Name-Server, sondern auch Interaktionen von Switches und Routern, Firewalls und generelle Verbindungen zum Internet. Sobald Schwachstellen entdeckt werden, kann ein Unternehmen entscheiden, wie damit umgegangen werden soll.

Unüberwindbar: DNS-Sicherheit muss sowohl externen als auch internen Angriffen standhalten.
Unüberwindbar: DNS-Sicherheit muss sowohl externen als auch internen Angriffen standhalten.
Foto: Infoblox

Externe autoritative Name-Server sollten sich an möglichst vielen unterschiedlichen Standorten befinden. Das hilft nicht nur dabei, Schwachstellen zu vermeiden, sondern auch, die Antwortgeschwindigkeiten zu verringern, indem immer derjenige Name-Server antwortet, der sich räumlich am nächsten zum Kunden befindet.

Um sich nicht von großen Antwortmassen außer Gefecht setzen zu lassen, sollten Unternehmen außerdem überlegen, ob sie nicht mehr Ressourcen vorhalten, als eigentlich notwendig sind (Overprovisioning). Im Vergleich zu den Konsequenzen einer DDoS-Attacke wäre das möglicherweise eine günstigere Alternative.

Cloud-basierte DNS-Anbieter betreiben eigene Name-Server in ihren Rechenzentren weltweit. Die können als Ersatz für die unternehmenseigenen Name-Server konfiguriert werden - und zwar mit Daten von einem Master-Name-Server, der wiederum intern verwaltet wird. Aber Vorsicht: Viele dieser Anbieter rechnen auf Basis der erhaltenen Anfragen ab, sodass die Kosten während einer DNS-Attacke signifikant steigen.

Komplize wider Willen

Die richtige Konfiguration der DNS-Infrastruktur ist ein Weg, sich gegen DDoS-Attacken zu schützen. Gleichzeitig sollten Unternehmen aber auch sicherstellen, dass sie nicht unwissentlich zu Komplizen bei DDoS-Attacken gegen andere werden. Gehört ein Unternehmen nicht zu der kleinen Gruppe, die offene rekursive Name-Server betreiben, können sie die DNS-Anfragen begrenzen, die IP-Adressen in einem internen Netzwerk adressieren. So haben nur autorisierte Nutzer Zugriff auf diese sensiblen rekursiven Name-Server.

Für diejenigen, die tatsächlich auch autoritative Name-Server betreiben, gibt es das sogenannte Response Rate Limiting (RRL), das in die BIND-Name-Server integriert ist. Das macht es Angreifern schwer, Anfragen zu verstärken, indem die Anzahl der Antworten, die an eine einzige IP-Adresse geschickt werden, gedeckelt wird.

Unternehmen müssen als Erstes verstehen, wie DDoS-Attacken DNS-Server nutzen, und die Zeichen für einen Angriff erkennen. Dann können sie Maßnahmen ergreifen, um sowohl die Gefahr zu mindern, dass die eigene Infrastruktur angegriffen wird, als auch zu vermeiden, dass sie wider Willen zu einem Mittäter bei Angriffen auf andere werden. (sh)