DNS-Angriff

Ein DNS-Angriff ist ein Exploit, bei dem ein Angreifer Schwachstellen im Domain Name System (DNS) ausnutzt.

Um zu verstehen, wie DNS-Angriffe funktionieren, ist es wichtig, zunächst zu verstehen, wie das Domain Name System funktioniert. DNS ist ein Protokoll, das einen benutzerfreundlichen Domänennamen wie WhatIs.com in die computerfreundliche IP-Adresse 206.19.49.154 übersetzt.

Wenn ein Endbenutzer den benutzerfreundlichen Domänennamen WhatIs.com in den Browser eines Clients eingibt, sucht ein Programm im Betriebssystem des Clients, das DNS-Resolver genannt wird, die numerische IP-Adresse von WhatIs.com. Zunächst prüft der DNS-Resolver seinen eigenen lokalen Cache, um festzustellen, ob er die IP-Adresse von WhatIs.com bereits besitzt. Ist dies nicht der Fall, fragt der Resolver bei einem DNS-Server nach, ob er die richtige IP-Adresse für WhatIs.com kennt. DNS-Server sind rekursiv, d. h. sie können sich gegenseitig abfragen, um entweder einen anderen DNS-Server zu finden, der die korrekte IP-Adresse kennt, oder um den maßgeblichen DNS-Server zu finden, der die kanonische Zuordnung des Domänennamens WhatIs.com zu seiner IP-Adresse speichert. Sobald der Resolver die IP-Adresse gefunden hat, sendet er die IP-Adresse an das anfragende Programm zurück und speichert die Adresse für die zukünftige Verwendung.

Obwohl das DNS recht robust ist, wurde es für die Benutzerfreundlichkeit und nicht für die Sicherheit entwickelt, und die heute verwendeten Arten von DNS-Angriffen sind zahlreich und recht komplex und nutzen die Kommunikation zwischen Clients und Servern aus. In der Regel nutzen die Angreifer die Klartextkommunikation zwischen Clients und den drei Arten von DNS-Servern aus. Eine weitere beliebte Angriffsstrategie besteht darin, sich mit gestohlenen Anmeldedaten auf der Website eines DNS-Anbieters anzumelden und DNS-Einträge umzuleiten.

Um die Gefahr eines DNS-Angriffs zu verringern, sollten Serveradministratoren die neueste Version der DNS-Software verwenden, den Datenverkehr konsequent überwachen und die Server so konfigurieren, dass die verschiedenen DNS-Funktionen dupliziert, getrennt und isoliert werden. Zur Abwehr von DNS-Angriffen empfehlen Experten die Implementierung einer mehrstufigen Authentifizierung, wenn Änderungen an der DNS-Infrastruktur des Unternehmens vorgenommen werden. Das Betriebspersonal sollte auch alle Änderungen überwachen, die öffentlich mit den DNS-Einträgen oder den digitalen Zertifikaten des Unternehmens verbunden sind. Eine weitere Strategie ist der Einsatz von Domain Name System Security Extensions (DNSSEC), die die Authentifizierung im DNS durch die Verwendung digitaler Signaturen auf der Grundlage der Public-Key-Kryptografie verstärken.

DNS-Angriffsvektoren

Zu den Arten von DNS-Angriffen gehören:

Zero-Day-Angriff – der Angreifer nutzt eine bisher unbekannte Schwachstelle im DNS-Protokollstapel oder in der DNS-Server-Software aus.

Cache Poisoning – der Angreifer korrumpiert einen DSN-Server, indem er eine legitime IP-Adresse im Cache des Servers durch die einer anderen, betrügerischen Adresse ersetzt, um den Datenverkehr auf eine bösartige Website umzuleiten, Informationen zu sammeln oder einen anderen Angriff zu starten. Cache Poisoning kann auch als DNS Poisoning bezeichnet werden.

Denial of Service – ein Angriff, bei dem ein bösartiger Bot mehr Datenverkehr an eine Ziel-IP-Adresse sendet, als die Programmierer, die seine Datenpuffer geplant haben, erwartet haben. Das Ziel ist nicht mehr in der Lage, legitime Anfragen zu beantworten.

Distributed Denial of Service – der Angreifer verwendet ein Botnet, um massive Mengen an Auflösungsanfragen an eine Ziel-IP-Adresse zu generieren.

DNS-Amplifikation – der Angreifer nutzt einen DNS-Server, der rekursive Lookups zulässt, um seinen Angriff auf andere DNS-Server auszuweiten.

Fast-flux DNS – der Angreifer tauscht DNS-Einträge mit extremer Häufigkeit aus und ein, um DNS-Anfragen umzuleiten und eine Entdeckung zu vermeiden.