F

DNS-Monitoring nutzen, um Einbrüche in das Netzwerk zu entdecken

DNS-Monitoring hilft beim Erkennen von Netzwerk-Einbrüchen. Am besten halten Sie nach Alter der Domäne, DNS-Fehler und verdächtigen Domänen Ausschau.

Ich habe gelesen, dass eine Überwachung von DNS-Daten (Domain Name System) eine gute Möglichkeit ist, Einbrüche...

in das Netzwerk zu erkennen. Haben Sie einen Ratschlag für mich, welche Tools Firmen für das DNS-Monitoring verwenden können?

In der Tat ist das DNS-Monitoring eine ausgezeichnete Möglichkeit beim Herausfinden, ob Ihr Netzwerk kompromittiert wurde oder nicht. DNS-Daten haben extrem an Wichtigkeit gewonnen, weil Bots in erster Linie durch DNS mit Ihren C&C-Drohnen (Command and Control) kommunizieren. Ungewöhnlicher DNS-Traffic ist ein verdächtiges Anzeichen, dass ein Gerät in Ihrem Netzwerk von einem Bot befallen und nun Mitglied eines Botnets ist. Es gibt eine Vielzahl an Methoden für DNS-Monitoring. Meiner Meinung nach sind die Top-Drei allerdings: Alter der Domäne, verdächtige Domänen und DNS-Fehler. Sehen wir uns die einzelnen Methoden für DNS-Monitoring kurz an.

Alter einer Domäne

Ich halte es für eine gute Praxis, ein Skript mit einem Whois-Lookup einzusetzen. Halten Sie dabei Ausschau nach allen Domänen, die das erste Mal durch das Gateway des Netzwerks schreiten. Schenken Sie dabei dem Feld Erzeugt am (Creation Date, Created On und so weiter) besonderes Augenmerk. Wurde diese Domäne gerade mal vor zwei Tagen angelegt, sollten sie überlegen, ob Sie den ausgehenden Traffic zu dieser Domäne vorerst blockieren. Dann können Sie in aller Ruhe weitere Untersuchungen anstellen.

Verdächtige Domänen

Das Adjektiv „verdächtig“ ist in diesem Zusammenhang sehr schwer zu definieren. Aber Sie wissen es sofort, wenn Sie solche Domänen sehen. Zum Beispiel ist es nicht ungewöhnlich, dass Netzwerk-Daten mit der Domäne google.de ausgetauscht werden. Allerdings wäre das Auftauchen der Domäne google.co1.123.abc schon sehr ungewöhnlich. Sollten Sie ausgehenden Traffic zu seltsamen oder ungewöhnlichen Domänen bemerken, wären weitere Untersuchungen ein kluger Schachzug.

DNS-Fehler

Wenn Sie eine große Anzahl an DNS-Lookup-Fehlern in Ihrem Netzwerk bemerken, sind Sie möglicherweise infiltriert. Angreifer verwenden in diesem Fall einen so genannten DGA (Domain Generation Algorithm). Abstrakt gesagt generieren DGAs tausende an Domänen, kommunizieren allerdings nur mit einer Handvoll. Durch die Kommunikation mit den tatsächlichen Domänen werden die Bots von Ihren Meistern kontrolliert.

Für einen erfahrenen Security-Administrator sollten die drei oben genannten Methoden einfach zu implementieren sein. Einzig die Sache mit den verdächtigen Domänen könnte sich als etwas schwieriger erweisen. Jede Organisation legt verdächtig schließlich anders aus. Domänen-Alter und DNS-Fehler lassen sich dafür sehr einfach in Skripten einsetzen. Im Normalfall brauchen Sie dafür nicht einmal zusätzliche Hardware anschaffen.

Artikel wurde zuletzt im Januar 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über IT-Sicherheit: Incident-Response

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close