DNS-Sicherheit - jetzt Verantwortung übernehmen!

Heute finden etwa 200 Prozent mehr Infrastruktur-Angriffe auf das Domain-Name-System (DNS) statt als noch 2012. Damit ist ein kritischer Punkt der Unternehmens-Infrastruktur zunehmend exponiert – doch die meisten Firmen ignorieren die Tatsache, dass ihr DNS einer steigenden Gefährdung ausgesetzt ist und über DNS-Security-Maßnahmen nachgedacht werden sollte. Jedes Unternehmensnetzwerk, das Cisco in seinem jährlichen Sicherheitsbericht 2014 untersuchte, war bereits infiltriert. In einer Untersuchung zur IT-Sicherheit in Infrastrukturen gaben mehr als ein Viertel aller befragten Unternehmen offen zu, dass es bei ihnen kein formales Programm für DNS-Sicherheit gebe.

Der Gefahr ins Auge sehen

Etwas mehr als ein Drittel aller Unternehmen wurden 2013 Opfer eines DDoS-Angriffs, der die Unternehmens-DNS-Server lahmlegt. Eine Steigerung um mehr als 30 Prozent in einem Jahr. Die Gefährlichkeit der DDoS-Angriffe liegt darin, dass sie relativ leicht durchzuführen sind, wenn dem Angreifer eine DNS-Infrastruktur zur Verfügung steht. Hacker übernehmen die Kontrolle und nutzen Spoofed-IP-Adressen ihres Ziels, um Anfragen an verschiedene Name-Server im Internet zu senden.

Wären die Antworten ebenso groß wie die Anfragen, so würde das nicht ausreichen, um den geplanten Zusammenbruch herbeizuführen. Die Anfrage muss verstärkt werden, um die größtmögliche Antwort zu erreichen – und seit der Adaption der DNS Security Extensions (DNSSEC) ist dies ohne Probleme möglich. Seit der DNSSEC-Einführung können UDP-basierte DNS-Nachrichten eine vielfach größere Datenmenge transportieren. Eine Anfrage umfasst normalerweise weniger als 100 Bytes; dank der Extension Mechanisms for DNS (EDNS) kann sie auf bis zu 4.096 Bytes aufgeblasen werden.

Um die Effektivität dieser verstärkten Antwortnachrichten als DDoS-Waffe zu demonstrieren, soll dieses Beispiel genügen: Eine einzelne Anfrage von 44 Bytes kann eine Antwort von über 4.000 Bytes generieren, wenn sie von einer Spoof-IP-Adresse an eine Domain mit DNSSEC-Einträgen gesendet wurde. Mit Hilfe eines Botnetzes mit tausenden von Rechnern und zehn Mittätern kann diese einfache Anfrage über ein Gigabyte an Antwortnachrichten verursachen – und das Ziel damit durch Überforderung ausschalten.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

1. DNS-Sicherheit - jetzt Verantwortung übernehmen!
2. Das System sichern

Lesen Sie mehr zum Thema

Weitere Artikel zu connect professional

Meetingbox Huus Meet Pro im Test

Schöner meeten

Digitale Gesundheitsdaten

Bundesweiter Start der E-Patientenakte rückt näher

KI-Tools für die Lehre

Baustein für bessere Bildung

Kundenbarometer Internet B2B 2025

Welcher Internetanbieter überzeugt?

Eintritt in Europas größten TK-Markt

Schwedische Vinnergi beteiligt sich an deutscher Vivax Net

Weitere Artikel zu Viren-/Malware-Schutz

Malware in raubkopierter Software  

Jamf Threat: Hintertür in raubkopierten macOS-Anwendungen

Sicherheits-Lücke bei Google

Malware-Entwickler reaktivieren abgelaufene Google-Cookies

Trend Micro: Gefahr durch Infostealer

Auf diese Daten haben es Hacker am meisten abgesehen

Banking-Malware, Stealer und Ransomware

Crimeware-Report von Kaspersky zeigt drei neue Bedrohungen

VAD erweitert Portfolio

ICOS und Avast schließen Partnerschaft

Weitere Artikel zu Mobile Security

Cyan Guard 360

Cybersecurity für den Mittelstand

Videoüberwachung und LivEye

Mobile Videosicherheit als Dienstleistung

Unternehmen im Fadenkreuz

Cyberangriffe auf Rekordniveau

Onlinebetrug vorbeugen

o2 Telefónica mit neuer Identifizierungslösung für Händler

Mobiles Gerätemanagement

Samsung richtet Knox-Services neu aus