Die häufigsten DNS-Attacks
Versuche, dem DNS zu schaden, passieren leider häufiger als man denkt. Angreifer können das DNS auf verschiedene Weise manipulieren und so große Gewinne erzielen. Aber es gibt Möglichkeiten, sich und Unternehmen zu schützen.
Published by
Simone Catania
Date
Das Domain Name System (DNS) ist für das heutige Internet unverzichtbar. Es wandelt für Menschen lesbare, alphabetische Namen in IP-Adressen um. So können wir mithilfe von Domains, anstelle einer langen Zahlenfolge, auf Websites zugreifen und E-Mails austauschen. Bei der Entwicklung lag der Fokus auf Benutzerfreundlichkeit, nicht auf Sicherheit.
Heute zielen böswillige Akteure zunehmend auf die DNS-Infrastruktur ab, um ihre Schwachstellen auszunutzen. Obwohl die letzten Updates und Sicherheitsprotokolle das DNS sicherer gemacht haben, bleibt ein gewisses Risiko bestehen. DNS-Angriffe können die Ursache für Datenschutzverletzungen und Geschäftsausfälle sein. Das führt nicht nur zu finanziellen Verlusten, sondern auch zu Reputationsschäden. Das Schlimmste: Die Angriffe können völlig unentdeckt bleiben.
Jede Organisation, die sich mit dem Internet befasst, sollte dieses Problem ernst nehmen und geeignete Gegenmaßnahmen in ihren Sicherheitsplan aufnehmen. In diesem Artikel werden einige der häufigsten DNS-Angriffsmethoden und Best-Practice-Beispiele zu deren Bekämpfung vorgestellt.
Was ist das DNS?
In den frühen 80er Jahren entwickelte Paul Mockapetris das DNS. Ein Benennungssystem, das die Verwendung von benutzerfreundlichen Domains anstelle von langen, schwer zu merkenden numerischen Bezeichnungen ermöglicht. Wenn Sie heute eine Domain in die Adressleiste von Webbrowsern eingeben, findet das DNS die entsprechende IP-Adresse und verbindet Sie mit dem richtigen Website-Server, nach dem Sie suchen.
Wenn Sie beispielsweise „facebook.com“ in die Adressleiste Ihres Browsers eingeben, sendet Ihr Gerät eine DNS-Anfrage an den konfigurierten DNS-Server und fragt nach der IP-Adresse von „facebook.com“. Doch das DNS kann wie jedes andere Protokoll im Internet manipuliert und ausgenutzt werden. Ein böswilliger Angreifer kann die Domain Name Resolution ausnutzen, indem er den DNS-Server angreift und seine Einträge ändert. Dadurch werden falsche Informationen über Domains oder Websites anstelle ihrer korrekten IP-Adressen zurückzugeben.
Die Risiken des DNS
Das DNS wurde entwickelt, als das Internet nur ein akademisches Projekt einiger weniger Leute war und bevor die Mehrheit der gängigen Cyberangriffe ein Problem darstellte. Die ursprüngliche Entwicklung sah keine Sicherheits- oder Authentifizierungsmaßnahmen vor.
Böswillige Akteure können die Kommunikation zwischen dem Server und den Benutzern hacken, um
- Benutzer auf eine betrügerische Website umzuleiten,
- bösartigen Inhalt vorzuschlagen,
- unerwünschte Popup-Werbung anzuzeigen,
- Betrug oder Malware zu verbreiten,
- eine Domain zu stehlen (im schlimmsten Fall).
Im Laufe der Jahre haben DNS- und Netzwerk-Experten mehrere Bugs entdeckt. Der von Dan Kaminsky 2008 entdeckte Fehler, eine kritische Schwachstelle, die Cache-Poisoning-Angriffe auf den meisten Nameservern ermöglicht, ist wahrscheinlich das bedeutendste Beispiel. Um diese Lücke zu schließen, wurden verschiedene Sicherheitsprotokolle wie DNSSEC, DoT (DNS over TLS) und DoH (DNS over HTTPS) implementiert.
Sieben Methoden von Cyber-Angriffen, um das DNS zu hacken
Das Hacken der DNS-Server kann für Hacker sehr profitabel sein. Es ermöglicht ihnen, wertvolle Informationen zu erfassen und Benutzer umzuleiten, um eine bestimmte Aktion durchzuführen. Beispielsweise durch Phishing oder das Installieren von Malware auf ihren Geräten. Es gibt viele verschiedene Methoden, wie man DNS-Angriffe startet, hier sind die häufigsten:
1. DoS-, DDoS- und DNS-Amplification-Angriffe
Bei einem Denial-of-Service-Angriff (DoS) versucht der Angreifer, Sie am Zugriff auf das Netzwerk oder die Computerressourcen zu hindern. Um dies zu erreichen, wird ein DNS-Server mit Datenverkehr überflutet, bis die Website oder Online-Ressource nicht mehr verfügbar sind. DDoS (Distributed Denial-of-Service) ist eine ausgefeiltere Version von DoS.
Der Hauptunterschied liegt in der Anzahl der beteiligten Systeme. Während DoS ein System-zu-System-Angriff ist, betreibt DDoS mehrere Systeme, um ein einziges anzugreifen. Dies erschwert die Erkennung eines DDoS-Angriffs, da mehrere Zombies oder Bots koordiniert werden. Der DNS-Amplification-Angriff fällt in die gleiche Kategorie wie DDoS-Angriffe. Es nutzt die Schwachstellen im DNS aus, indem es zahlreiche gefälschte DNS-Anfragen sendet, um den Server niederzuzwingen.
2. DNS-Hijacking
Angreifer verwenden die DNS-Hijacking-Methoden, um die DNS-Abfrage umzuleiten und aufzulösen. Dies geschieht, wenn der Hacker die Kontrolle über den DNS-Server erlangt und den Datenverkehr auf einen gefälschten DNS-Server umleiten kann. Infolgedessen landen Benutzer auf einer gefälschten Website, meist ohne es zu merken.
Es gibt verschiedene Methoden, um das DNS zu hijacken, wie beispielsweise durch das “Vergiften” des DNS-Cache mit einer falschen IP-Adresse (Cach Poisoning), das Einschleusen von Malware in den Router, wodurch die DNS-Einstellungen geändert werden, durch den möglichen dZugriff auf das Netzwerk und das Umleiten von DNS-Anfragen oder die Verwendung von Man-in-the-Middle-Attacken. Letzteres ermöglicht es Hackern, die Kommunikation zwischen Ihnen und der Website abzufangen und so die DNS-Anfrage zu manipulieren, indem eine andere IP-Adresse angegeben wird. Sie können auch die DNS-Router modifizieren und einen sogenannten Rogue-DNS-Server verwenden, um den Datenverkehr umzuleiten.
3. DNS-Tunneling
Diese Angriffsvariante ist alles andere als neu, da sie seit über 20 Jahren existiert. Aber selbst nach all der Zeit stellt sie immer noch eine ernsthafte Bedrohung dar. Diese bösartige Technik ermöglicht es dem Angreifer, Kontakt mit Ihrem Computer aufzunehmen und Malware und andere bösartige Daten über ein Client-Server-Modell zu tunneln. Dabei werden Sie nicht merken, dass Sie sich mit einem infizierten Server „unterhalten“.
Der DNS-Resolver erstellt einen Tunnel zwischen Ihnen und dem Angreifer, um die Abfrage mit versteckten Daten umzuleiten, die für den Angriff auf Ihr System erforderlich sind. Typische Missbrauchsfälle im Zusammenhang mit DNS-Tunneling beschränken sich nicht auf die Daten-Exfiltration. DNS-Abfragen und -Antworten können auch andere bösartige Programme oder Protokolle enthalten.
4. DNS-Spoofing
DNS-Spoofing wird verwendet, um die Anfrage eines Browsers an eine Website zu kapern und den Domain-Verkehr umzuleiten. Dabei wird vorgetäuscht, über die legitimen Server-Ziele zu leiten. Dies wird entweder durch Ändern der IP-Adresse von DNS-Servern oder durch Ändern der IP-Adresse des Domain-Nameservers selbst erreicht.
Ein DNS-Spoofing-Angriff tritt auf, wenn der Angreifer sich als DNS-Server ausgibt und Antworten auf DNS-Abfragen sendet, die sich von denen des legitimen Servers unterscheiden. Die Angreifer können jede Art von Antwort auf die Anfrage des Opfers senden, einschließlich gefälschter IP-Adressen für Hosts oder andere Falschinformationen.
5. DNS-Poisoning und DNS-Cache-Poisoning
Sicher haben Sie schon einmal vom Web-Caching gehört, also dem Speichern von Internetdaten, die beim nächsten Besuch wieder abgerufen werden können. Das DNS hat eine ähnliche Funktion.
Wenn Angreifer das DNS vergiften, fügen sie betrügerische IP-Adressen in Ihren lokalen Cache-Speicher ein. In diesem Fall landen Sie auf einer Website, die wie die typische Website aussieht, nach der Sie gesucht haben. In Wirklichkeit handelt es sich um eine gefälschte Version, die darauf ausgelegt ist, Ihre Daten zu stehlen.
Um das DNS zu vergiften, können Angreifer verschiedene Methoden anwenden, von Machine-in-the-Middle, die sowohl DNS als auch den Browser vergiftet, bis hin zu Server-Hijacking bei der Neukonfiguration der Anfragen auf dem DNS-Server oder Spam und anderen kryptografiebasierten Angriffen. Diese Art von Angriffen ist besonders schädlich, da die Anmeldeseite authentisch aussieht und die Benutzer nicht erkennen, dass der Hacker ihre Anmeldeinformationen gestohlen hat.
Manchmal zielt DNS-Poisoning nicht darauf ab, sensible Daten zu stehlen, sondern den Zugang zu einem Portal zu kompromittieren, um dessen Sichtbarkeit zu verringern.
6. DNS-Verfolgung/Protokollierung
Immer wenn eine Domain aufgelöst wird, wird ein DNS-Server nach Informationen gefragt. Dabei werden Informationen über den Nutzer an den für diesen Server zuständigen ISP gesendet, der Ihre IP-Adresse und damit Ihren ungefähren Standort erfasst. TLS/SSL-Zertifikate verschlüsseln die Kommunikation, sodass Hacker den Inhalt nicht lesen können. Dies verbirgt jedoch nicht Ihre IP, wenn Sie eine Domain besuchen.
Wenn jemand in der Lage ist, eine IP-Adresse zu verfolgen, kann er sie möglicherweise mit anderen gespeicherten Informationen wie Name, Adresse, Bankverbindung und vielem mehr in Verbindung bringen. Hacker können diese Informationen möglicherweise sammeln und zuordnen, um ihre Angriffe durchzuführen. In der Vergangenheit haben einige ISPs diese Informationen gesammelt, um sie an Dritte, häufig Werbetreibende, weiterzuverkaufen und ihnen so eine gezielte Umsetzung ihrer Strategien zu ermöglichen.
Nutzer in Europa genießen durch die Einführung der DSGVO einen größeren Schutz. Obwohl noch nicht klar ist, ob die IP-Adresse zu den personenbezogenen Daten gehört, darf sie sicherlich nicht mit anderen Informationen in Verbindung gebracht werden.
7. DNS-Rebinding
Die DNS-Rebinding-Methode ermöglicht es einem Angreifer, das Problem geschlossener Ports auf dem Router zu überwinden. In diesem Fall beginnt der Angriff von einer Webseite, die ein schädliches Skript auf Seiten des Clients im Browser ausführt. Dadurch wird ein Angriff auf andere Computer im Netzwerk generiert. Die Überprüfung der Domains ist einer der wesentlichen Bausteine der Richtlinie, die den gleichen Ursprung haben wie Webbrowser. Dadurch wird ausschließlich dem Host, der das Skript erstellt hat, Zugriff auf die Inhalte gewährt.
Der DNS-Rebinding-Angriff überwindet diese Richtlinie jedoch, indem er das System ausnutzt, um Domains missbräuchlich aufzulösen. Einfach ausgedrückt, ermöglicht der DNS-Rebinding-Angriff einem Browser, mit entfernten Servern zu kommunizieren, mit denen er eigentlich keine Daten austauschen sollte.
Fünf Maßnahmen zur Eindämmung von DNS-Angriffen
Nachdem Sie die verschiedenen Angriffsarten und ihre Ziele verstanden haben, besteht der nächste Schritt darin, die verfügbaren Gegenmaßnahmen zu verstehen. Es ist möglich, Ihre DNS-Infrastruktur widerstandsfähiger zu machen, indem Sie mehrere Best Practice Beispiele implementieren. Diese Empfehlungen helfen Ihnen dabei, die höchste DNS-Sicherheit zu erreichen.
1. Implementieren Sie einen Schutz für das Internet
Implementieren Sie alle DNS-Schutzsysteme und -Protokolle wie DNSSEC.
2. Beschränken Sie den Zugriff auf den DNS-Resolver
Halten Sie Ihren DNS-Resolver privat und nur für Ihre Netzwerkbenutzer, niemals für Dritte, zugänglich.
3. Wenden Sie sichere Konfigurationen an
Verwenden Sie die optimale DNS-Konfiguration, um mögliche Schwachstellen zu reduzieren. Beispielsweise, um die Anzahl der Abfragen zu begrenzen oder wiederholende Abfragen zu blockieren.
4. Entscheiden Sie sich für einen zertifizierten Managed Service
Die DNS-Verwaltung erfordert technische Kenntnisse und Skills. Verlassen Sie sich auf einen zuverlässigen, professionellen und zertifizierten Partner, um höchste DNS-Sicherheitsstandards zu gewährleisten, einschließlich einer ISO-Zertifizierung.
5. Verwenden Sie digitale Zertifikate und Signaturen
Implementieren Sie ein höheres Maß an Datenschutz, indem Sie Ihre Daten und Kommunikation authentifizieren und verschlüsseln. Dazu gehört auch die Verwendung einer Zwei-Faktor-Authentifizierung, sofern verfügbar.
Der Schutz der DNS-Infrastruktur ist ein entscheidender Schritt zur Wahrung der Internetsicherheit im Allgemeinen. Eine effiziente DNS-Sicherheitsstrategie beinhaltet die Anwendung aller derzeit verfügbaren Sicherheitsprotokolle, die Verwaltung redundanter DNS-Server und das Wissen, welche Methoden Hacker zu ihrem Vorteil nutzen können.
DNS schützen = Höhere Sicherheit für Ihr Business
Es gibt viele Cyberangriffe und Einbrüche ins Netzwerk, die einem Unternehmen widerfahren können. Als essenzielles Element des Internets ist das DNS das Ziel verschiedener Cyberangriffe, die zu Ausfallzeiten wichtiger Websites und Anwendungen führen können. Indem Sie der Sicherheit Priorität einräumen und Maßnahmen ergreifen, um bestimmte Bedrohungen abzuwehren, können Sie Ausfallzeiten verhindern, Verluste mindern und vor allem das Vertrauen Ihrer Kunden in Ihr Unternehmen stärken.
DNS-Sicherheit mag wie ein kompliziertes Thema erscheinen, aber es gibt Dienste wie unsere, die Unternehmen mit professionellen Strategien helfen, die DNS-Sicherheit zu verbessern und ihre Domains zu schützen. Bei InterNetX verstehen wir die Komplexität rund um die DNS-Sicherheit und haben Lösungen entwickelt, die Ihnen helfen, Ihr Unternehmen vor DNS-Angriffen zu schützen und zu sichern.
Mehr über Domain Security