BLOG

Wolkenchroniken, Teil 2: DNS-DDoS-Angriffsprävention und -Abwehr

Griff Shelley Miniatur
Griff Shelley
Veröffentlicht am 26. Juni 2024

Wenn Sie darüber nachdenken, wie eine DNS-Lösung in Ihre Umgebung passt, ist Sicherheit möglicherweise nicht der erste Gedanke. Schließlich wird es oft als „das Telefonbuch des Internets“ bezeichnet und wie oft werden Telefonbücher und Sicherheit im selben Satz erwähnt? DNS ist ein wenig unscheinbar, auch wenn es im Grunde das Rückgrat der täglichen Internetinteraktionen bildet. Vielleicht aufgrund dieser Allgegenwart sind DNS-Dienste auch häufig das Ziel von Distributed-Denial-of-Service-Angriffen (DDoS) . Und mit der zunehmenden Komplexität und Häufigkeit dieser Angriffe steigen auch die Anforderungen an die Verteidigung dieses Eckpfeilers der Internet-Infrastruktur.

DNS-DDoS-Angriffe: Eine Rose würde unter jedem anderen Namen immer noch den Verkehr behindern

Was gibt es zu DNS-DDoS-Angriffen zu sagen, was nicht bereits gesagt wurde? Es gibt sie in vielen Ausprägungen und Größen , die von „unbequem“ bis „ das Internet oder zumindest einen Teil davon lahmlegen “ reichen. „DDoS“ ist ein Überbegriff, der unzählige Arten von Netzwerk- und Anwendungsangriffen umfasst, die den Dienst verweigern und in den legitimen Anwendungsverkehr eindringen. Hier sind vier der häufigsten groß angelegten Angriffe:

DNS-Amplification- und Reflection-Angriffe Machen Sie das DNS selbst zu einer Waffe, indem Sie die offene Natur der DNS-Server ausnutzen, um den Angriffsverkehr zu verstärken – ähnlich, als würden Sie in eine Schlucht schreien und das Echo zur Verstärkung des Schalls verwenden.

NXDOMAIN-Angriffe überfluten einen Server mit Anfragen für nicht vorhandene Domänen und erzeugen dadurch eine heimtückische Kakophonie „falscher Nummern“, die den Dienst verlangsamen.

Zufällige Subdomain-Angriffe sind eine Herausforderung, da sie eine große Anzahl nicht vorhandener Subdomains anfordern und so die DNS-Resolver verwirren.

DNS-Floods überschwemmen einen oder mehrere Server mit legitim aussehendem Datenverkehr und versuchen, ein System allein durch die schiere Menge zu überlasten.

DNS-Floods, Subdomain-, NXDOMAIN- sowie Amplification- und Reflection-Angriffe – wie auch immer sie auftreten, sie alle zielen darauf ab, durch übermäßigen oder unregelmäßigen Datenverkehr den Zugriff legitimer Benutzer auf geschäftskritische Anwendungen zu stören. Sie werden auch nicht immer isoliert gestartet. Tatsächlich können DNS-DDoS-Angriffe auch als Nebelwand dienen, um andere bösartige Aktivitäten zu verschleiern. Angesichts der Existenz dieser Angriffsarten im Kontext der zunehmenden digitalen Transformation, der wachsenden Verbreitung von IoT-Geräten und der Ausweitung des 5G-Netzwerkzugriffs können böswillige Akteure heute mehr Technologien und Internetverbindungen als je zuvor nutzen, um ihre schändlichen Ziele gegenüber DNS-Diensten zu erreichen. Was zu tun?

Mehrvektorangriffe, mehrvektorielle Sicherheit

Die Positionierung von DNS als Ausgangspunkt für die Anwendungsbereitstellung in einer Umgebung erfordert von den Teams, es auch als Ausgangspunkt für die Sicherheit zu betrachten, selbst wenn ein DNS-Dienst normalerweise nicht als Sicherheitslösung im herkömmlichen Sinne betrachtet wird.

Es ist hilfreich, Sicherheit im Kontext dreier miteinander verbundener Funktionen zu betrachten: Skalierbarkeit, hohe Verfügbarkeit und Verwaltung böswilligen Datenverkehrs. All diese Funktionen spielen bei der Interaktion mit dem Verkehr eine aktive Rolle und stellen sicher, dass der richtige Verkehr ohne Behinderungen an sein Ziel gelangt. 

Skalierbarkeit: Stellen Sie sich eine Infrastruktur vor, die sich bei steigendem Datenverkehr automatisch erweitert und Ihren Teams damit erlaubt, DDoS-Angriffe frühzeitig zu erkennen. So sorgen wir dafür, dass auch während eines volumetrischen Angriffs legitime Nutzer ihre DNS-Anfragen mit minimalen Störungen auflösen können, wie eine Brücke, die zur Stoßzeit zusätzliche Fahrspuren öffnet, um Staus zu vermeiden. Die Skalierbarkeit eines DNS-Dienstes garantiert zudem, dass plötzliche Verkehrsspitzen – egal ob böswillig oder nicht – Ihre Backend-Ressourcen nicht überlasten und lahmlegen.

Hohe Verfügbarkeit: Erweitern Sie das Skalierbarkeitskonzept, insbesondere im Bereich DNS-Sicherheit, und Sie erkennen sofort den Bedarf an einem DNS-Service, der während eines Angriffs, der eine Ressource lahmlegen könnte, kontinuierlich Auflösungen liefert. Nutzen Sie dabei ein weltweites Netz von Points of Presence (PoPs), ermöglicht dieses Servernetzwerk eine intelligente Datenverkehrsverwaltung, sorgt für nahtlose Failovers zu den richtigen Ressourcen, gewährleistet Benutzern Zugang und erschwert Angreifern, einen einzigen Schwachpunkt zu erkennen und auszunutzen. Alternativ kombinieren Sie einen Cloud-basierten DNS-Service mit Ihrem lokalen DNS-Service und schaffen so ein dynamisches DDoS-bekämpfendes Duo, das die Last untereinander verteilt oder einen als Backup für den anderen bereithält.

Management bösartiger Datenströme: Neben Skalierbarkeit und hoher Verfügbarkeit setzen wir bei einem DNS-Dienst auf fortschrittliches Management bösartiger Datenströme. Durch den Einsatz von Echtzeitanalysen und Bedrohungsinformationen helfen wir Ihnen, bösartigen Datenverkehr frühzeitig zu erkennen und zu stoppen, bevor Schaden entsteht. Stellen Sie sich einen Wasserfilter vor, der zwischen sauberem und verunreinigtem Wasser unterscheidet und nur das Saubere passieren lässt. Wir lassen nur „sauberen“ Datenverkehr durchs Netzwerk, dadurch schaffen Sie Ressourcen frei, indem Sie bösartige Datenströme schon im Vorfeld erkennen und abweisen, bevor sie ihr Ziel erreichen. So schützen Sie Zielsysteme vor unnötiger Belastung und steigern die Verfügbarkeit Ihrer Anwendungen.

Diese Sicherheitsmethoden konzentrieren sich auf das Problem der Eindämmung von schädlichem Datenverkehr. Sie wachsen, sie lenken ab, sie fallen. Darüber hinaus ergänzen sie sich gegenseitig in Bereichen, in denen eine einzelne Methode möglicherweise nicht ausreicht. Hohe Verfügbarkeit bedeutet beispielsweise nicht unbedingt hohe Skalierbarkeit (und umgekehrt). Durch die Implementierung einer App-Bereitstellungsstrategie, die alle drei Aspekte kombiniert, lässt sich jedoch schnell eine starke Verteidigungslinie gegen böswillige Datenverkehrsfluten aufbauen.

Um angesichts von Herausforderungen wie DDoS-Angriffen eine robuste Anwendungsbereitstellung zu erreichen, ist in der Praxis häufig eine Kombination von Strategien und Technologien wie intelligentem Verkehrsmanagement, verteilten Architekturen und automatisierten Failover-Mechanismen erforderlich. F5 Distributed Cloud DNS kann der erste Schritt bei der Entwicklung einer solchen Umgebung für Ihre verteilten Apps sein.

Wenn Sie mehr darüber erfahren möchten, wie das geht, kontaktieren Sie uns .