Was ist DNS Fast Flux?

DNS Fast Fluxing ist eine Methode, die mit einer Domain verbundenen IP-Adressen schnell auszutauschen, sodass böswillige Domains, die für Phishing-Angriffe und andere kriminelle Aktivitäten genutzt werden, schwerer zu blockieren sind.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Erfahren Sie, worum es sich DNS Fast Fluxing handelt und warum Angreifer es nutzen
  • Verstehen, wie DNS Fast Fluxing funktioniert
  • Erfahren, wie DNS Fast Fluxing verhindert werden kann

Ähnliche Inhalte


Möchten Sie noch mehr erfahren?

Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!

Lesen Sie die Cloudflare Datenschutzrichtlinie, um zu erfahren, wie wir Ihre persönlichen Daten sammeln und verarbeiten.

Link zum Artikel kopieren

Was ist DNS Fast Flux?

DNS Fast Fluxing ist eine Technik, bei der mehrere IP-Adressen mit einem einzigen Domainnamen verknüpft werden und diese IP-Adressen schnell ausgetauscht werden. Manchmal werden Hunderte oder sogar Tausende von IP-Adressen verwendet. Angreifer nutzen DNS Fast Fluxing, um ihre Websites am Laufen zu halten, den wahren Ursprung ihrer böswilligen Aktivitäten zu verbergen und Sicherheitsteams am Blockieren ihrer IP-Adresse zu hindern. Diese Technik wird häufig von Botnets verwendet.

Angreifer sind darauf angewiesen, dass ihre Websites aktiv bleiben, um Phishing-Angriffe auszuführen, Malware zu hosten, gestohlene Kreditkartendaten zu verkaufen und andere illegale Aktivitäten durchzuführen. Mit DNS Fast Flux haben böswillige Domains mehr Betriebszeit und lassen sich schwerer blockieren, sodass Cyber-Kriminelle mehr Angriffe durchführen können. Im Wesentlichen macht DNS Fast Fluxing böswillige Domains zu einem beweglichen Ziel.

Stellen Sie sich einen Bankräuber auf der Flucht vor: Wenn die Polizei das Auto des Diebs kennt, kann sie nach dem Nummernschild suchen und das Auto anhalten, bevor es die Stadt verlässt. Stellen Sie sich nun vor, der Bankräuber hat einen Kofferraum voller Nummernschilder und steigt aus und wechselt alle paar Kilometer das Kennzeichen. Das macht die Identifizierung des Autos schon sehr viel schwieriger. Der DNS Fast Flux hat einen ganz ähnlichen Effekt: Wenn sich die IP-Adresse einer Website ständig ändert, lässt sie sich viel schwieriger identifizieren und blockieren.

Wie funktioniert der DNS Fast Flux?

Angreifer ordnen einem Domainnamen mehrere IP-Adressen zu, indem sie die mit diesem Domainnamen verbundenen DNS-Einträge in rascher Folge ändern. Eine IP-Adresse wird registriert und dann alle paar Minuten oder Sekunden wieder abgemeldet und durch eine neue IP-Adresse ersetzt. Dies gelingt den Angreifern, indem sie eine Load Balancing-Technik namens Round Robin DNS ausnutzen und für jede IP-Adresse eine sehr kurze Time to Live (TTL) festlegen. Häufig handelt es sich bei einigen oder allen verwendeten IP-Adressen um Webhosts, die die Angreifer kompromittiert haben. Die Rechner an diesen IP-Adressen fungieren als Proxys für den Ursprungsserver des Angreifers.

Beim Round-Robin-DNS werden einer Domain mehrere redundante Webserver zugeordnet, die jeweils eine eigene IP-Adresse haben. Wenn der autorisierende Nameserver für diese Domain eine Abfrage erhält, gibt er jedes Mal eine andere IP-Adresse aus, sodass (theoretisch) kein einziger Webserver mit Traffic überlastet wird. Während es sich beim Load Balancing um die legitime, beabsichtigte Verwendung von Round Robin DNS handelt, können Angreifer dieses Feature auch zur Verschleierung ihrer böswilligen Aktivitäten nutzen.

Angreifer, die schnelle Flows verwenden, setzen auch eine sehr kurze TTL für diese IP-Adressen, manchmal sind es nur 60 Sekunden. Nach Ablauf der TTL wird diese IP-Adresse nicht mehr mit diesem Domainnamen verknüpft.

Was ist Double Fast Fluxing?

Double Fast Fluxing fügt eine weitere Ebene des DNS Fluxing hinzu. Das macht es noch schwieriger, eine Domain zu blockieren und den Ursprung böswilliger Aktivitäten aufzuspüren. Beim Double Fast Fluxing wird auch die IP-Adresse des autoritativen Nameservers schnell geändert. (Technisch gesehen bedeutet dies, dass sowohl die DNS A-Einträge für die Domain als auch die DNS NS-Einträge für die Zone ständig geändert werden).

Das wäre so, als würde der oben beschriebene Bankräuber nicht nur sein Nummernschild wechseln, sondern auch ständig in andere Autos steigen.

Wie kann der DNS Fast Flux verhindert werden?

Der effektivste Weg, DNS Fast Fluxing zu stoppen, ist einfach die Löschung des Domainnamens. Aus einer Vielzahl von Gründen können oder wollen Domainnamen-Registrare dies nicht immer tun.

Netzwerkadministratoren können Nutzer in ihrem Netzwerk auch dazu verpflichten, die von ihnen kontrollierten DNS-Server zu verwenden und Abfragen für böswillige Domains zu blockieren oder zu verwerfen. Auf diese Weise werden böswillige Domains nicht aufgelöst, und die Nutzer können nicht auf sie zugreifen. Diese Technik nennt man DNS-Filterung.