DNS-Sicherheit

Bei der Entwicklung von DNS stand Sicherheit nicht im Vordergrund. Es wurden viele Arten von Angriffen entwickelt, um die Schwachstellen im DNS-System zu nutzen.

Share facebook icon linkedin icon twitter icon email icon

DNS-Sicherheit

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Definition und Funktionsweise von DNSSEC
  • Vorstellung der häufigsten DNS-Angriffe
  • Unterschied zwischen DNSSEC und anderen DNS-Sicherheitslösungen

Warum ist DNS-Sicherheit wichtig?

Die DNS-Standardabfragen, die fast für den gesamten Datenverkehr im Internet erforderlich sind, stellen Gelegenheiten für DNS-Angriffe wie DNS-Hijacking und Man-in-the-Middle-Angriffe dar. Mit diesen Angriffen kann der eingehende Datenverkehr einer Website an eine gefälschte Kopie der Website umgeleitet werden, wobei sensible Benutzerinformationen erfasst und für Unternehmen Haftungsschäden verursacht werden. Eine der besten bekannten Methoden, sich gegen DNS-Bedrohungen zu schützen, besteht in der Verwendung des DNSSEC-Protokolls.

Was ist DNSSEC?

Wie bei vielen Internetprotokollen stand bei der Entwicklung des DNS-Systems die Sicherheit nicht im Vordergrund. Es enthält einige Designeinschränkungen. Dank dieser Einschränkungen und der technologischen Fortschritte ist es für Angreifer einfach, einen DNS-Lookup für böswillige Zwecke zu nutzen, z. B. um einen Benutzer zu einer betrügerischen Website zu schicken, die Malware verbreitet oder personenbezogene Informationen sammelt. DNS Security Extensions (DNSSEC) ist ein Sicherheitsprotokoll, mit dem dieses Problem behoben werden soll. DNSSEC schützt vor Angriffen, indem Daten digital signiert werden, um ihre Gültigkeit zu bestätigen. Zur Gewährleistung eines sicheren Lookup müssen die Daten auf jeder Ebene des DNS-Lookup-Prozesses signiert werden.

Wie bei vielen Internetprotokollen stand bei der Entwicklung des DNS-Systems die Sicherheit nicht im Vordergrund. Es enthält einige Designeinschränkungen. Dank dieser Einschränkungen und der technologischen Fortschritte ist es für Angreifer einfach, einen DNS-Lookup für böswillige Zwecke zu nutzen, z. B. um einen Benutzer zu einer betrügerischen Website zu schicken, die Malware verbreitet oder personenbezogene Informationen sammelt.


DNS Security Extensions (DNSSEC) ist ein Sicherheitsprotokoll, mit dem dieses Problem behoben werden soll. DNSSEC schützt vor Angriffen, indem Daten digital signiert werden, um ihre Gültigkeit zu bestätigen. Zur Gewährleistung eines sicheren Lookup müssen die Daten auf jeder Ebene des DNS-Lookup-Prozesses signiert werden.


Dieser Signiervorgang ähnelt der handschriftlichen Unterzeichnung eines rechtsverbindlichen Dokuments. Die Person unterzeichnet mit ihrer eindeutigen Unterschrift und ein Gerichtsgutachter kann sich die Unterschrift ansehen und verifizieren, dass das Dokument von der betreffenden Person unterzeichnet wurde. Diese digitalen Signaturen stellen sicher, dass die Daten nicht manipuliert wurden.


DNSSEC implementiert eine hierarchische digitale Signierungsrichtlinie über alle Ebenen des DNS-Systems. Beispielsweise würde im Fall eines Lookup von google.com ein DNS-Stammserver einen Schlüssel für den .COM-Nameserver signieren und der .COM-Nameserver würde einen Schlüssel für den autoritativen Nameserver von google.com signieren.


Höhere Sicherheit wird zwar immer bevorzugt, doch DNSSEC ist rückwärtskompatibel, um sicherzustellen, dass herkömmliche DNS-Lookups trotz der zusätzlichen Sicherheitsmerkmale weiterhin richtig aufgelöst werden. DNSSEC soll mit anderen Sicherheitsmaßnahmen wie SSL/TLS im Rahmen einer ganzheitlichen Internetsicherheitsstrategie zusammenarbeiten.


DNSSEC erstellt eine Eltern-Kind-Vertrauenskette, die bis zur Stammzone reicht. Diese Vertrauenskette kann auf keiner DNS-Ebene kompromittiert werden, da die Anfrage andernfalls für einen Man-in-the-Middle-Angriff anfällig wird.


Zum Schließen der Vertrauenskette muss die Stammzone sich selbst validieren (nachweislich nicht manipuliert sein) und das geschieht mit einer Intervention durch den Menschen. Interessanterweise treffen sich bei dieser sogenannten Root Zone Signing Ceremony ausgewählte Personen aus aller Welt, um den DNSKEY RRset öffentlich und nachprüfbar zu signieren.

Es folgt eine ausführlichere Erläuterung der Funktionsweise von DNSSEC >>>

Was sind einige häufige Angriffe im Zusammenhang mit DNS?

DNSSEC ist ein mächtiges Sicherheitsprotokoll, jedoch leider derzeit nicht allgemein eingeführt. Dank der mangelnde Annahmen von DNSSEC, einigen anderen potenziellen Schwachstellen und der Tatsache, dass DNS ein integraler Bestandteil der meisten Internetanfragen ist, stellt das DNS ein Hauptziel für heimtückischer Angriffe dar. Angreifer haben verschiedene Möglichkeiten gefunden, DNS-Sever anzuvisieren und zu manipulieren. Nachfolgend sind einige der gängigsten Methoden aufgeführt:

DNS-Spoofing/-Cacheangriffe: Das ist ein Angriff, bei dem gefälschte Daten in den Cache eines DNS-Resolvers eingeschleust werden, sodass der Resolver eine falsche IP-Adresse für eine Domain zurückgibt. Statt zur richtigen Website kann der Datenverkehr zu einem Computer mit böswilligen Inhalten oder ein anderes vom Angreifer gewünschtes Ziel umgeleitet werden. Häufig handelt es sich um eine Nachbildung der ursprünglichen Website, die zu böswilligen Zwecken wie die Verbreitung von Malware oder das Sammeln von Anmeldedaten dient.

DNS-Tunnelling: Bei diesem Angriffen werden andere Protokolle verwendet, um auf DNS-Anfragen und -Antworten zuzugreifen. Angreifer können mithilfe von SSH, TCP oder HTTP Malware oder gestohlene Daten in DNS-Anfragen einfügen. Von den meisten Firewalls wird dies nicht erkannt.

DNS-Hijacking: Beim DNS-Hijacking leitet der Angreifer Anfragen an einen anderen Domain-Nameserver um. Das lässt sich entweder mit Malware oder einer unbefugten Änderung eines DNS-Servers erreichen. Obwohl das Ergebnis dem eines DNS-Spoofing-Angriff ähnelt, ist dies ein grundlegend anderer Angriff, weil er auf den DNS-Eintrag der Website auf dem Nameserver und nicht auf den Cache des Resolvers abzielt.

DNS Hijacking

NXDOMAIN-Angriff: Dies ist ein Typ von DNS-Angriff, bei dem ein Angreifer einen DNS-Server mit Anfragen nach nicht vorhandenen Einträgen überhäuft, um den legitimen Datenverkehr durch einen Denial-of-Service zu blockieren. Die wird mit ausgefeilten Angriffstools erreicht, die für jede Anfrage automatisch eindeutige Subdomains erstellen. NXDOMAIN-Angriffe können auch einen rekursiven Resolver mit dem Ziel im Visier haben, den Cache des Resolvers mit unsinnigen Anfragen zu füllen.

Phantom-Domain-Angriff: Ein Phantom-Domain-Angriff hat ähnliche Folgen wie ein NXDOMAIN-Angriff auf einen DNS-Resolver Der Angreifer richtet eine Reihe von Phantom-Domain-Server ein, die entweder sehr langsam oder gar nicht auf Anfragen reagieren. Der Resolver wird dann von einer Flut von Anfragen nach diesen Anfragen überrollt und blockiert, während er auf Antworten wartet. Dadurch wird die Performance beeinträchtigt und ein Denial-of-Service verursacht.

Random-Subdomain-Angriff: In diesem Fall sendet der Angreifer DNS-Anfragen für verschiedene zufällige, nicht vorhandene Subdomains einer legitimen Website. Ziel ist die Erzeugung eines Denial-of-Service für den autoritativen Nameserver der betreffenden Domain, sodass die Website vom Nameserver nicht ermittelt werden kann. Durch diesen Angriff kann auch der vom Angreifer verwendete ISP beeinträchtigt werden, da der Cache von dessen rekursivem Resolver mit ungültigen Anfragen gefüllt wird.

Domain-Sperrenangriff: Angreifer orchestrieren diese Art von Angriff, indem sie spezielle Domains und Resolver einrichten, um TCP-Verbindungen mit anderen legitimen Resolvern herzustellen. Wenn die anvisierten Resolver Anfragen senden, senden diese Domains langsame Ströme von Paketen mit Zufallsdaten zurück, wodurch die Ressourcen des Resolvers gebunden werden.

Botnetz-basierter CPE-Angriff: Diese Angriffe werden mit CPE-Geräten durchgeführt (Customer Premise Equipment, das sind Geräte, die von Serviceprovidern ihren Kunden zur Verfügung gestellt werden, z. B. Modems, Router, Kabelboxen usw.). Die Angreifer kompromittieren die CPEs und die Geräte werden Teil eines Botnetzes, das für Random-Subdomain-Angriffe auf eine Website oder Domain genutzt wird.

Was ist der beste Schutz vor DNS-basierten Angriffen?

Zusätzlich zu DNSSEC kann der Betreiber einer DNS-Zone weitere Maßnahmen zum Schutz der Server ergreifen. Die Überdimensionierung der Infrastruktur ist eine einfache Strategie, sich gegen DDoS-Angriffe zu schützen. Einfach gesagt, wenn der Nameserver ein Vielfaches des zu erwartenden Datenverkehr verarbeiten kann, dann ist der Server weniger anfällig für Angriffe, die auf der Datenverkehrsmenge basieren.


Anycast-Routing ist ein weiteres praktisches Tool, das DDoS-Angriffe unterbinden kann. Anycast ermöglicht es mehreren Servern, eine IP-Adresse gemeinsam zu nutzen, sodass selbst dann, wenn ein Server lahm gelegt wird, ein anderer Server verfügbar ist. Eine andere beliebte Strategie zum Schutz von DNS-Servern ist eine DNS-Firewall.

Was ist eine DNS-Firewall?

Eine DNS-Firewall ist ein Tool, das eine Reihe von Sicherheits- und Performance-Dienste für DNS-Server bereitstellen kann. Eine DNS-Firewall befindet sich zwischen dem rekursiven Resolver des Benutzers und dem autoritativen Nameserver der Website oder des Service, den der Benutzer zu erreichen versucht. Die Firewall kann Ratenbegrenzungdienste bereitstellen, um Angreifer auszuschalten, die einen Server lahm legen möchten. Wenn der Server aufgrund eines Angriffs oder aus einem anderen Grund ausfällt, kann die DNS-Firewall die Website oder den Service des Betreibers weiterhin verfügbar halten, indem sie DNS-Antworten aus dem Cache liefert. Neben den Sicherheitsfunktionen kann eine DNS-Firewall auch Performance-Lösungen wie schnellere DNS-Lookups und geringere Bandbreitenkosten für den DNS-Betreiber bieten. Weitere Informationen zur DNS-Firewall von Cloudflare

Eine DNS-Firewall ist ein Tool, das eine Reihe von Sicherheits- und Performance-Dienste für DNS-Server bereitstellen kann. Eine DNS-Firewall befindet sich zwischen dem rekursiven Resolver des Benutzers und dem autoritativen Nameserver der Website oder des Service, den der Benutzer zu erreichen versucht. Die Firewall kann Ratenbegrenzungdienste bereitstellen, um Angreifer auszuschalten, die einen Server lahm legen möchten.


Wenn der Server aufgrund eines Angriffs oder aus einem anderen Grund ausfällt, kann die DNS-Firewall die Website oder den Service des Betreibers weiterhin verfügbar halten, indem sie DNS-Antworten aus dem Cache liefert. Neben den Sicherheitsfunktionen kann eine DNS-Firewall auch Performance-Lösungen wie schnellere DNS-Lookups und geringere Bandbreitenkosten für den DNS-Betreiber bieten. Weitere Informationen zur DNS-Firewall von Cloudflare

DNS als Sicherheitstool

DNS-Resolver können auch so konfiguriert werden, dass sie Sicherheitslösung für ihre Endnutzer (Personen, die im Internet surfen) bereitstellen. Einige DNS-Resolver bieten Funktionen wie Inhaltsfilterung oder Botnetz-Schutz. Durch die Inhaltsfilterung können Websites blockiert werden, die bekanntermaßen Malware und Spam verteilen. Botnetz-Schutz blockiert die Kommunikation mit bekannten Botnetzen. Viele dieser geschützten DNS-Resolver sind kostenlos und der Benutzer kann durch die Änderung einer einzigen Einstellung in seinem lokalen Router zu einem dieser rekursiven DNS-Services wechseln. Cloudflare DNS legt Wert auf Sicherheit.