DNS-Bedrohungslandschaft im Wandel

DNS ist nicht auf Sicherheit ausgelegt

Das Domain Name System (DNS) wurde in den 1980er Jahren entwickelt, als der Internetzugang auf Regierungsbehörden, Wissenschaftler und das Militär beschränkt war. Den ersten Architekten des Systems ging es in erster Linie um Zuverlässigkeit und Funktionalität, nicht um Sicherheit. Infolgedessen waren DNS-Server schon immer anfällig für ein breites Spektrum von Angriffen, einschließlich Spoofing, Verstärkung (Amplification) und Denial-of-Service.

Und diese Angriffe werden immer häufiger. Laut dem 2021 Global DNS Threat Report von IDC wurden 87 % der Unternehmen im vergangenen Jahr Opfer eines DNS-Angriffs – ein Anstieg um acht Prozentpunkte gegenüber dem Vorjahr. Viele dieser Angriffe hatten schwerwiegende Folgen. Der Bericht ergab, dass 76 % der DNS-Angriffe zu Anwendungsausfällen führten und dass es im Durchschnitt mehr als fünfeinhalb Stunden dauerte, den Angriff abzuwehren.

Diese Zunahme der Angriffe ist auf eine Reihe von Faktoren zurückzuführen, und Unternehmen benötigen einen Plan, um alle diese Faktoren zu berücksichtigen.

In den letzten Jahren gab es zwei Veränderungen in der bestehenden DNS-Landschaft: neu entdeckte DNS-Sicherheitslücken und eine Veränderung der Internet-Nutzung im Zuge der Covid-19-Pandemie. Um auf diese neuen Bedrohungen zu reagieren – und sich gegen bestehende Bedrohungen zu schützen – müssen Unternehmen der DNS-Sicherheit generell eine höhere Priorität einräumen und einen mehrschichtigen Ansatz implementieren, der über DNSSEC hinausgeht.

Neue Cyber-Bedrohungen nutzen und missbrauchen das DNS

Im Jahr 2021 werden 44 % der Unternehmen DNS-basierte Angriffe als eine ihrer größten Sicherheitsherausforderungen betrachten. Ein kurzer Rückblick auf das vergangene Jahr macht die Gründe dafür deutlich.

Zunächst wurden vor kurzem mehrere neue DNS-bezogene Sicherheitslücken entdeckt, darunter die folgenden:

  • „Passwort vergessen“-Angriffe mit Web-Cache Poisoning. „Passwort-vergessen“-Links sind in Webanwendungen weit verbreitet, aber eine im Juli 2021 entdeckte Sicherheitslücke macht sie anfällig für DNS-Cache-Poisoning-Angriffe. Sicherheitsexperten fanden heraus, dass sie durch einen Cache-Poisoning-Angriff auf 146 anfällige Webanwendungen E-Mails zum Zurücksetzen von Passwörtern auf von Angreifern kontrollierte Server umleiten konnten. Auf diese Weise konnten sie auf den Link klicken und das Kennwort des Benutzers zurücksetzen, so dass dieser legitimen Zugang zu seinem Konto erhielt.

  • Offenlegung von Daten im verwalteten DNS. Die auf der Black Hat USA 2021 vorgestellten Rechercheergebnisse zeigen, dass Fehler in bestimmten verwalteten DNS-Diensten den DNS-Traffic von Unternehmen offenlegen können, der sensible Informationen enthält. Durch die Registrierung einer Domain bei Amazons DNS-Dienst Route53 oder Google Cloud DNS, die denselben Namen wie der DNS-Nameserver trug, konnte der Angreifer erzwingen, dass der gesamte DNS-Traffic an seinen Server weitergeleitet wurde. Dadurch wurden sensible Informationen offengelegt und DNS-Spoofing-Angriffe ermöglicht.

  • tsuNAME DDoS-Angriffe gegen DNS-Server. tsuNAME ist eine Sicherheitslücke in der DNS-Resolver-Software, die DDoS-Angriffe auf DNS-Server ermöglicht.e Es kann Domains mit „zyklischen Abhängigkeiten“ geben, bei denen Domain A an Domain B delegiert und vice versa. Anfällige DNS-Resolver geraten in eine Endlosschleife, wenn sie mit Domains konfrontiert werden, die zyklische Abhängigkeiten verursachen. In einem Fall sorgten nur zwei falsch konfigurierte Domains 2020 für einen 50%igen Anstieg des Traffics für die autoritativen DNS-Server von .nz.

Außerdem hat die Zunahme der Remote-Arbeit zu weiteren DNS-Angriffen geführt. Seit Beginn der Covid-19-Pandemie haben mehrere Angriffsvarianten auf Heimrouter mit DNS-Hijacking abgezielt. Beim DNS-Hijacking veranlasst der Angreifer den DNS-Eintrag für eine legitime Domain, auf eine von ihm kontrollierte Website zu verweisen. Bei diesen jüngsten Angriffen gab die kompromittierte Website vor, Covid-19-Informationen anzubieten, installierte aber in Wirklichkeit Malware auf dem Gerät des Benutzers.

Da viele Mitarbeiter ganz oder teilweise von zu Hause aus arbeiten, stellt ein kompromittiertes Gerät ein erhebliches Sicherheitsrisiko für das Netzwerk dar. Einem Bericht der Global Cyber Alliance zufolge ist rund ein Drittel der weltweiten Datenschutzverletzungen auf DNS-Sicherheitslücken zurückzuführen.

Bestehende DNS-Bedrohungen bleiben ebenfalls bestehen

Diese neuen DNS-Angriffsvektoren reihen sich ein in eine lange Liste bekannter Bedrohungen. Zu den häufigsten Angriffen auf die DNS-Infrastruktur gehören:

  • DNS Denial-of-Service-Angriffe, die DNS-Dienste lahmlegen und die von ihnen bedienten Websites unerreichbar machen. Diese Angriffe könnten Serverressourcen verschwenden, indem sie nicht existierende Domains (NXDOMAINs) oder zufällige Subdomains anfordern oder einen verteilten DoS-Angriff (DDoS) gegen einen DNS-Server durchführen.

  • DNS-Spoofing: ähnelt dem DNS-Hijacking, zielt aber auf DNS-Resolver ab, die häufig oder kürzlich angeforderte DNS-Einträge zwischenspeichern. Bei einem DNS-Spoofing- oder Cache-Poisoning-Angriff werden falsche DNS-Einträge in den Cache eines Resolvers eingefügt, so dass Anfragen für diese Domains an eine vom Angreifer kontrollierte Website weitergeleitet werden.

  • DNS-DDoS-Verstärkung: diese machen sich Dienste zunutze, die über UDP kommunizieren und deren Antworten viel größer sind als die entsprechende Anfrage. Diese Faktoren ermöglichen es einem Angreifer, Anfragen an den Dienst zu senden und seine viel größeren Antworten an das Ziel zu senden. Ein DNS-Verstärkungsangriff überflutet das Ziel mit DNS-Antworten, verbraucht Bandbreite und überlastet die Zielserver.

  • DNS-Tunneling: nutzt die Berechtigungen des DNS-Traffics aus, um Unternehmensfirewalls zu passieren. Bei diesen Angriffen wird DNS-Traffic verwendet, um Daten zwischen Malware und dem vom Angreifer kontrollierten Datenserver zu übertragen.

Die Auswirkungen von DNS-Angriffen

Die große Vielfalt in der DNS-Angriffslandschaft bedeutet auch, dass die Folgen der Angriffe unterschiedlich sind. Unabhängig von den Umständen sind die Folgen oft schwerwiegend.

DNS-DDoS-Angriffe – wie z. B. solche, die die oben erwähnte Sicherheitslücke von tsuNAME ausnutzen – können zu Performanceeinbußen oder gar zum Ausfall ganzer Webanwendungen führen. DNS ist ein entscheidender erster Schritt, damit eine Website schnell geladen werden kann, und solche Angriffe verbrauchen Serverressourcen, die ansonsten für die Bearbeitung legitimer Anfragen verwendet werden könnten. Im Jahr 2020 gaben 42 % der Unternehmen, die Opfer eines DNS-Angriffs wurden, an, dass ihre Website in irgendeiner Weise kompromittiert worden war.

Selbst Angriffe, die nicht darauf abzielen, DNS-Dienste lahmzulegen, wie DNS-DDoS-Verstärkung oder DNS-Tunneling, können große Mengen an Traffic zu DNS-Servern erzeugen. Diese schlechte Performance hat mehrere sekundäre Folgen, darunter niedrigere Konversionsraten, niedrigere Platzierungen in der organischen Suche und mehr.

Spoofing-, Hijacking- und Cache-Poisoning-Angriffe können sich auch negativ auf die Konversionsrate einer Website auswirken, indem sie potenzielle Kunden von der legitimen Website wegleiten. Darüber hinaus kann die Tatsache, dass die eigene Website als schlecht gesichert angesehen wird, dem Ruf der Marke eines Unternehmens auf lange Sicht schaden.

DNS-Angriffe können auch schwerwiegende Folgen für die Netzwerksicherheit eines Unternehmens haben. Die oben erwähnten Sicherheitslücken in bestimmten verwalteten DNS-Anbietern führten dazu, dass privater Traffic für Angreifer zugänglich war – ein kritisches Datensicherheitsproblem. Und DNS-Tunneling-Angriffe, bei denen Malware in einem Netzwerk installiert und gesteuert wird, können eine Vielzahl von Folgen haben, darunter Datenverlust und Lösegeldforderungen.

Insgesamt betrugen die durchschnittlichen Kosten pro DNS-Angriff im Jahr 2020 über 900.000 Dollar.

Abwehr der Bedrohung durch DNS-Angriffe

Eine Reihe von Maßnahmen kann Unternehmen dabei helfen, DNS-Angriffe abzuwehren. Ganz oben auf der Liste: DNS-Sicherheitslösungen irgendeiner Art. Der IDC-Bericht ergab, dass 42 % der Unternehmen keine speziellen DNS-Sicherheitslösungen implementiert haben.

Der Schutz vor diesen Angriffen erfordert DNS-Sicherheitslösungen. Diese Lösungen müssen jedoch sorgfältig konzipiert und umgesetzt werden, um sicherzustellen, dass sie sich nicht negativ auf die Performance von legitimen DNS-Anfragen auswirken.

Einige Optionen zur Abwehr von DNS-Angriffen sind:

  • DNSSEC: DNSSEC ist ein Sicherheitsprotokoll, das Antworten von DNS-Servern signiert. Dies trägt zum Schutz vor DNS-Hijacking und Spoofing bei, indem die an den Client zurückgesendeten Daten authentifiziert werden.

  • Redundante Infrastruktur: DoS-Angriffe auf die DNS-Infrastruktur erfolgen in der Regel, indem dem Ziel-DNS-Server mehr Traffic geschickt wird, als er bewältigen kann. Durch die Überbelegung von Servern und die Verwendung von Anycast-Routing kann der Traffic auf mehrere Server verteilt werden. Dies gewährleistet die Verfügbarkeit, wenn ein Server überlastet ist oder ausfällt.

  • DNS-Firewall: Eine DNS-Firewall befindet sich zwischen dem autoritativen Nameserver einer Domain und den rekursiven Resolvern der Benutzer. Die Firewall kann die Anzahl der Anfragen zum Schutz vor DDoS-Angriffen begrenzen oder den Datenverkehr filtern, um bösartige oder verdächtige Anfragen zu blockieren.

  • Verschlüsseltes DNS: Standardmäßig ist DNS ein unverschlüsseltes und unauthentifiziertes Protokoll. DNS über HTTPS (DoH) und DNS über TLS (DoT) bieten Verschlüsselung und Authentifizierung.

Absicherung von DNS mit Cloudflare

Cloudflare hilft Millionen von Kunden, das gesamte Spektrum der DNS-Bedrohungen abzuwehren. Verwaltetes DNS von Cloudflare bietet mit einem Klick DNSSEC zum Schutz vor DNS-Spoofing und Hijacking-Angriffen. Es basiert auf der gesamten Netzwerkkapazität von Cloudflare von 100 Tbit/s – ein Vielfaches der bisher größten DNS-DDoS-Attacke – und blockiert DDoS-Angriffe zusätzlich zu anderen Angriffsarten.

Das Cloudflare-Netzwerk stützt sich auf Bedrohungsdaten von Millionen von Websites, APIs und Netzwerken und ist den neuesten Schwachstellen automatisch voraus.

Und diese Schutzmaßnahmen sind ohne Performanceeinbußen möglich. Cloudflare betreibt das schnellste autoritative DNS der Welt, mit einer durchschnittlichen Lookup-Zeit von 11 ms. Sie können sogar Ihre bestehende DNS-Infrastruktur beibehalten, während Sie Cloudflare DNS als sekundären DNS oder in einer verborgenen primären Konfiguration verwenden.

Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträger aus der Tech-Branche heute von Bedeutung sind.

Wichtigste Eckpunkte

Folgende Informationen werden in diesem Artikel vermittelt:

  • Die Bedeutung der DNS-Sicherheit

  • Die jüngsten DNS-Sicherheitslücken und ihre Folgen

  • Wie man gängige DNS-Angriffe erkennt

  • Wie man die DNS-Sicherheit verbessert

Vertiefung des Themas


Vertiefung des Themas

Erfahren Sie mehr über DNS-Sicherheitsprobleme und wie Sie diese lösen können, ohne Performance-Probleme zu riskieren. Lesen Sie hierzu das Whitepaper DNS-Sicherheit, -Performance und -Zuverlässigkeit steigern.

Whitepaper abrufen