Was ist eine DNS-Flood? | DNS-Flood-DDoS-Angriff

Ein Angriff, der darauf abzielt, einen DNS-Zielserver zu überfluten und zu überlasten.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Einen DNS-Flood-DDoS-Angriff definieren
  • Beschreiben, wie ein DNS-Flood-Angriff ein Ziel außer Gefecht setzt
  • Methoden zur Bekämpfung einer DNS-Flood verstehen

Link zum Artikel kopieren

Was ist eine DNS-Flood?

Domain-Name-System-(DNS)-Server sind die „Telefonbücher“ des Internets. Sie sind der Pfad, über den Internetgeräte spezifische Webserver finden können, um auf Internetinhalte zuzugreifen. Eine DNS-Flood ist ein verteilter Denial-of-Service-(DDoS)-Angriffstyp, bei dem ein Angreifer die DNS-Server einer bestimmten Domain überflutet und versucht, die DNS-Auflösung für diese Domain zu unterbrechen. Wenn ein Benutzer das Telefonbuch nicht finden kann, kann er die Adresse nicht nachschlagen, um den Anruf für eine bestimmte Ressource vorzunehmen. Durch Unterbrechung der DNS-Auflösung kompromittiert ein DNS-Flood-Angriff die Fähigkeit einer Website, API oder Webanwendung, auf legitimen Traffic zu reagieren. DNS-Flood-Angriffe können schwer von normalem starken Traffic zu unterscheiden sein, weil das große Traffic-Volumen von einer Vielzahl eindeutiger Standorte kommt, die echte Einträge an der Domain abfragen und legitimen Datenverkehr imitieren.

Wie läuft ein DNS-Flood-Angriff ab?

Abbildung: DNS-Flood-DDoS-Angriff

Die Funktion des Domain Name Systems besteht darin, einfach zu merkende Namen (z. B. beispiel.de) in schwer zu behaltende Adressen von Website-Servern (z. B. 192.168.0.1) zu übersetzen. Durch einen erfolgreichen Angriff der DNS-Infrastruktur wird das Internet also für die meisten Menschen unbenutzbar. DNS-Flood-Angriffe stellen einen relativ neuen Typ von DNS-basierten Angriffen dar, der sich mit der Zunahme von Internet of Things (IoT)-Botnetzen wie Mirai ausgebreitet hat. DNS-Flood-Angriffe nutzen die schnellen Breitbandverbindungen von IP-Kameras, DVR-Boxen und anderen IoT-Geräten aus, um die DNS-Server von großen Providern direkt zu überfluten. Das Volumen der Anfragen von IoT-Geräten überflutet die Dienste des DNS-Providers und hindert legitime Benutzer daran, auf die DNS-Server des Providers zuzugreifen.

DNS-Flood-Angriffe unterscheiden sich von DNS-Amplification-Angriffen. Anders als DNS-Floods reflektieren und verstärken DNS-Amplification-Angriffe Traffic von ungesicherten DNS-Servern, um den Ursprung des Angriffs zu verbergen und seine Effektivität zu steigern. DNS-Amplification-Angriffe setzen Geräte mit langsameren Bandbreitenverbindungen ein, um zahlreiche Anfragen an ungesicherte DNS-Server zu stellen. Die Geräte stellen viele kleine Anfragen für sehr große DNS-Einträge, aber bei der Unterbreitung der Anfragen fälscht der Angreifer die Rückadresse mit derjenigen des vorgesehenen Opfers. Aufgrund der Verstärkung kann der Angreifer größere Ziele mit nur begrenzten Angriffsressourcen außer Gefecht setzen.

Wie kann ein DNS-Flood-Angriff bekämpft werden?

DNS-Floods unterscheiden sich von herkömmlichen Angriffsmethoden auf Amplification-Basis. Mit leicht zugänglichen Botnetzen mit hoher Bandbreite können Angreifer jetzt große Organisationen ins Visier nehmen. Bis kompromittierte IoT-Geräte aktualisiert oder ersetzt werden können, besteht die einzige Methode zur Bekämpfung dieser Angriffstypen darin, ein sehr großes und stark verteiltes DNS-System einzusetzen, das den Angriffs-Traffic in Echtzeit überwachen, absorbieren und blockieren kann. Erfahren Sie, wie Cloudflares DDoS-Schutz vor DNS-Flood-Angriffen schützt.