F

Der Unterschied zwischen DNS-Reflection- und herkömmlichen DoS-Angriffen

DNS-Reflection-DoS-Angriffe sind anders als herkömmliche DoS-Angriffe. Sie finden auf Applikations-Ebene statt. Wir zeigen, wie Sie sich schützen.

Was ist ein DNS-Reflection-DoS-Angriff (Denial of Service)? Was unterscheidet diese Art von traditionellen DoS-Angriffen...

und wie können wir uns dagegen wehren?

Ein DNS-Reflection-DoS-Angriff ist ein DoS-Angriff auf Applikations-Ebene. Cyberkriminelle nutzen dabei Sicherheitslücken in DNS-Servern und unsicher konfigurierten Netzwerken aus. Bei CloudFlare gibt es einen guten Blog-Beitrag, der das Problem mit DNS-Reflection-DoS-Angriffe behandelt. Bei dieser Methode stellt zum Beispiel ein Desktop eine speziell manipulierte DNS-Anfrage mit der IP-Adresse des DoS-Ziels. Der DNS-Server schickt dann eine Antwort an eine vorgetäuschte IP-Adresse. Die DNS-Antwort ist dabei relativ groß und somit wird das Zielobjekt mit viel Netzwerk-Traffic bombardiert. Das Resultat ist ein Denial of Service (DoS), der Server ist also nicht mehr ansprechbar. DNS-Reflection-Angriffe unterscheiden sich von den von Botnets betriebenen DDoS-Angriffen, weil die DNS-Server nicht für die Erhaltung eines sicheren Netzwerks zuständig sind.

Reflection-DDoS-Angriffe oder die Verwendung gefälschter Quell-IP-Adressen, um Sicherheitslücken in verschiedenen Netzwerkprotokollen als Teil des DDoS-Angriffs auszunutzen, werden angesichts einer Tatsache weiter steigen: Die wachsende Komplexität der breit angelegten Distributions-Netzwerke, die für den Schutz von Webseiten vor DDoS-Angriffen verantwortlich sind. Künftige Angriffe können Multicast- oder UDP-Video-Protokolle (User Datagram Protocol) ins Visier nehmen. Cyberkriminelle könnten sogar Kunden hochkarätiger Websites aufs Korn nehmen, um die Geschäfte zu stören.

Das Open-Resolver-Projekt ist eine Bestrebung der Industrie, Betreibern von Internet-Infrastruktur das Absichern ihrer DNS-Server nahezulegen. Dabei bezieht man sich auf Anweisungen von Team Cymru, wie man Nameserver schützt. Organisationen könnten auch BCP38 beachten. Hier macht man sich Ingress-Filter zu Nutze, um DoS-Angriffen mit gefälschten IP-Adressen entgegenzuwirken.

Den externen Zugriff auf einen DNS-Resolver einzuschränken, könnte die Auswirkungen eines DSN-Reflection-DoS-Angriffs einschränken. Zusätzliche Maßnahmen sind, den eingehenden und den ausgehenden DNS-Traffic durch den ISP drosseln zu lassen. Organisationen können außerdem ihre DNS-Server und das Netzwerk überwachen. Plötzliche Spitzen bei der Bandbreite, eine hohe Summe an Anfragen an eine spezifische IP-Adresse oder missgebildete DNS-Pakete könnten ein Hinweis darauf sein, dass Sie gerade Opfer eines Angriffs sind. Unternehmen sollten die Gefahr von DNS-Reflection-DoS-Angriffen auch in Planspiele aufnehmen. Somit finden Sie heraus, ob sie ein echtes Risiko darstellen. Diese Informationen rechtfertigen dann dementsprechend einen Vorfalls-Reaktionsplan oder neue Sicherheits-Tools.

Über den Autor: Nick Lewis, CISSP, ist Sicherheitsbeauftragter der Saint Louis University. Nick hat seinen Master of Science in Informationssicherung von der Norwich University im Jahre 2005 und in Telekommunikation von der Michigan State University im Jahre 202 erhalten. Bevor er bei der Staint Louis University im Jahre 2011 anfing, arbeitete Nick an der University of Michigan und im Boston Children's Hospital. Weiterhin war er für Internet2 und die Michigan State University tätig.

Artikel wurde zuletzt im Oktober 2013 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close