Wolkenchroniken, Teil 2: DNS-DDoS-Angriffsprävention und -Abwehr
Wenn Sie darüber nachdenken, wie eine DNS-Lösung in Ihre Umgebung passt, ist Sicherheit möglicherweise nicht der erste Gedanke. Schließlich wird es oft als „das Telefonbuch des Internets“ bezeichnet und wie oft werden Telefonbücher und Sicherheit im selben Satz erwähnt? DNS ist ein wenig unscheinbar, auch wenn es im Grunde das Rückgrat der täglichen Internetinteraktionen bildet. Vielleicht aufgrund dieser Allgegenwart sind DNS-Dienste auch häufig das Ziel von Distributed-Denial-of-Service-Angriffen (DDoS) . Und mit der zunehmenden Komplexität und Häufigkeit dieser Angriffe steigen auch die Anforderungen an die Verteidigung dieses Eckpfeilers der Internet-Infrastruktur.
DNS-DDoS-Angriffe: Eine Rose würde unter jedem anderen Namen immer noch den Verkehr behindern
Was gibt es zu DNS-DDoS-Angriffen zu sagen, was nicht bereits gesagt wurde? Es gibt sie in vielen Ausprägungen und Größen , die von „unbequem“ bis „ das Internet oder zumindest einen Teil davon lahmlegen “ reichen. „DDoS“ ist ein Überbegriff, der unzählige Arten von Netzwerk- und Anwendungsangriffen umfasst, die den Dienst verweigern und in den legitimen Anwendungsverkehr eindringen. Hier sind vier der häufigsten groß angelegten Angriffe:
DNS-Amplification- und Reflection-Angriffe Machen Sie das DNS selbst zu einer Waffe, indem Sie die offene Natur der DNS-Server ausnutzen, um den Angriffsverkehr zu verstärken – ähnlich, als würden Sie in eine Schlucht schreien und das Echo zur Verstärkung des Schalls verwenden.
NXDOMAIN-Angriffe überfluten einen Server mit Anfragen für nicht vorhandene Domänen und erzeugen dadurch eine heimtückische Kakophonie „falscher Nummern“, die den Dienst verlangsamen.
Zufällige Subdomain-Angriffe sind eine Herausforderung, da sie eine große Anzahl nicht vorhandener Subdomains anfordern und so die DNS-Resolver verwirren.
DNS-Floods überschwemmen einen oder mehrere Server mit legitim aussehendem Datenverkehr und versuchen, ein System allein durch die schiere Menge zu überlasten.
DNS-Floods, Subdomain-, NXDOMAIN- sowie Amplification- und Reflection-Angriffe – wie auch immer sie auftreten, sie alle zielen darauf ab, durch übermäßigen oder unregelmäßigen Datenverkehr den Zugriff legitimer Benutzer auf geschäftskritische Anwendungen zu stören. Sie werden auch nicht immer isoliert gestartet. Tatsächlich können DNS-DDoS-Angriffe auch als Nebelwand dienen, um andere bösartige Aktivitäten zu verschleiern. Angesichts der Existenz dieser Angriffsarten im Kontext der zunehmenden digitalen Transformation, der wachsenden Verbreitung von IoT-Geräten und der Ausweitung des 5G-Netzwerkzugriffs können böswillige Akteure heute mehr Technologien und Internetverbindungen als je zuvor nutzen, um ihre schändlichen Ziele gegenüber DNS-Diensten zu erreichen. Was zu tun?
Mehrvektorangriffe, mehrvektorielle Sicherheit
Die Positionierung von DNS als Ausgangspunkt für die Anwendungsbereitstellung in einer Umgebung erfordert von den Teams, es auch als Ausgangspunkt für die Sicherheit zu betrachten, selbst wenn ein DNS-Dienst normalerweise nicht als Sicherheitslösung im herkömmlichen Sinne betrachtet wird.
Es ist hilfreich, Sicherheit im Kontext dreier miteinander verbundener Funktionen zu betrachten: Skalierbarkeit, hohe Verfügbarkeit und Verwaltung böswilligen Datenverkehrs. All diese Funktionen spielen bei der Interaktion mit dem Verkehr eine aktive Rolle und stellen sicher, dass der richtige Verkehr ohne Behinderungen an sein Ziel gelangt.
Skalierbarkeit: Stellen Sie sich eine Infrastruktur vor, die so konzipiert ist, dass sie bei steigendem Datenverkehr automatisch skaliert wird und den Teams, die den Dienst verwalten, einen Vorsprung bei der Erkennung von DDoS-Angriffen verschafft. Dadurch kann sichergestellt werden, dass legitime Benutzer auch während eines volumetrischen Angriffs ihre DNS-Abfragen mit minimalen Störungen auflösen können. Dies ist etwa durch eine Brücke möglich, bei der während der Hauptverkehrszeit Fahrspuren hinzugefügt werden können, um Staus zu vermeiden. Die Skalierbarkeit eines DNS-Dienstes bedeutet auch, dass eine plötzliche Welle des Datenverkehrs – böswillig oder anderweitig – die Backend-Ressourcen nicht so überlastet, dass sie nicht mehr funktionieren.
Hohe Verfügbarkeit: Wenn Sie dem Begriff der Skalierbarkeit eine weitere Dimension hinzufügen, insbesondere im Kontext der DNS-Sicherheit, werden Sie die Notwendigkeit eines DNS-Dienstes erkennen, der während eines Angriffs, der eine Ressource offline schalten kann, unterbrechungsfreie Auflösungen liefert. Wenn dieser Dienst von Points of Presence (PoPs) auf der ganzen Welt profitiert, kann dieses Servernetzwerk ein intelligentes Verkehrsmanagement bereitstellen, indem es nahtlose Failovers für bestimmte Ressourcen bereitstellt, Benutzern den Zugriff ermöglicht und Angreifer daran hindert, einen einzelnen Ausfallpunkt zu identifizieren und auszunutzen. Die andere Variante dieser Lösung besteht darin, einen Cloud-basierten DNS-Dienst mit einem DNS-Dienst vor Ort zu koppeln und die beiden als eine Art dynamisches DDoS-bekämpfendes Duo einzusetzen, das die Last unter sich aufteilen oder einen DNS-Dienst als Backup für den anderen positionieren kann.
Verwaltung bösartigen Datenverkehrs: Neben Skalierbarkeit und hoher Verfügbarkeit sollte ein DNS-Dienst auch über erweiterte Funktionen zur Verwaltung bösartigen Datenverkehrs verfügen. Durch die Nutzung von Echtzeitanalysen und Bedrohungsinformationen kann ein solcher Dienst Administratoren dabei helfen, bösartigen Datenverkehr zu identifizieren und zu bekämpfen, bevor dieser Schaden anrichten kann. Stellen Sie sich einen Wasserfilter vor, der zwischen sauberem und verunreinigtem Wasser unterscheiden kann und nur sauberes Wasser durchlässt. Indem nur „sauberer“ Datenverkehr durch das Netzwerk gelassen wird, werden Ressourcen freigegeben, indem bösartiger Datenverkehr präventiv erkannt und dann gelöscht wird, bevor er sein Ziel erreichen kann. Dadurch wird verhindert, dass dieses Ziel Junk-Pakete verarbeiten muss, und die Verfügbarkeit der Apps wird verbessert.
Diese Sicherheitsmethoden konzentrieren sich auf das Problem der Eindämmung von schädlichem Datenverkehr. Sie wachsen, sie lenken ab, sie fallen. Darüber hinaus ergänzen sie sich gegenseitig in Bereichen, in denen eine einzelne Methode möglicherweise nicht ausreicht. Hohe Verfügbarkeit bedeutet beispielsweise nicht unbedingt hohe Skalierbarkeit (und umgekehrt). Durch die Implementierung einer App-Bereitstellungsstrategie, die alle drei Aspekte kombiniert, lässt sich jedoch schnell eine starke Verteidigungslinie gegen böswillige Datenverkehrsfluten aufbauen.
Um angesichts von Herausforderungen wie DDoS-Angriffen eine robuste Anwendungsbereitstellung zu erreichen, ist in der Praxis häufig eine Kombination von Strategien und Technologien wie intelligentem Verkehrsmanagement, verteilten Architekturen und automatisierten Failover-Mechanismen erforderlich. F5 Distributed Cloud DNS kann der erste Schritt bei der Entwicklung einer solchen Umgebung für Ihre verteilten Apps sein.
Wenn Sie mehr darüber erfahren möchten, wie das geht, kontaktieren Sie uns .