Vorbeugende Maßnahmen gegen verteilte Dienstblockaden

DDoS-Attacken über das Domain Name System

| Autor / Redakteur: Rainer Singer / Stephan Augsten

So können Unternehmen sich schützen

Der erste Schritt besteht darin, DDoS-Attacken erkennen zu lernen. Bislang gibt es noch viele Unternehmen, die keine exakten Aussagen darüber treffen können, wie hoch ihre durchschnittliche Auslastung durch Anfragen ist. Dieser Wert lässt sich jedoch durch die in der DNS-Management-Software BIND integrierten Analysefähigkeiten schnell und einfach feststellen.

Mithilfe von DNS-Statistiken und der ermittelten durchschnittlichen Anfragegröße lassen sich Trends, Anomalien, Socket Errors und andere Indikatoren nachverfolgen und DDoS-Attacken identifizieren. Unternehmen sollten die mit dem Internet verbundenen Teile der Infrastruktur auf einzelne Schwachstellen prüfen, die sich in externen autoritativen Nameservern, inklusive Switch und Router-Interaktionen, Firewalls und Verbindungen zum Internet befinden können.

Sobald Schwachpunkte einmal identifiziert sind, können Strategien entwickelt werden, um diese effektiv zu beheben. Geschäftskritische Name Server sollten zudem räumlich möglichst gut verteilt aufgestellt werden – so können die Auswirkungen einzelner Fehler minimiert, aber auch die Reaktionszeiten reduziert werden, da immer der Name Server auf eine Anfrage antwortet, der am nächsten steht.

Damit die Kapazität für das hohe Datenvolumen durch mögliche DDoS-Attacken aufgebracht werden kann, sollten Unternehmen darauf achten, immer auf ausreichend viele freistehende Ressourcen zurückgreifen zu können. Leistungsfähige Name Server können mehrere hundert oder auch tausende Anfragen pro Sekunde verarbeiten.

Angesichts der großen Anzahl an Antworten, die auf eine DDoS-Attacke folgen, lohnt es sich, über eine überprovisionierende Infrastruktur nachzudenken. Eine kostengünstige Lösung, die bereits vor einem tatsächlichen Angriff auf ihre Funktionalität hin geprüft werden kann.

Komplize wider Willen

Das Einsetzen von Abwehrmechanismen ist ein Weg, um Firmennetzwerke von DDoS-Attacken zu schützen. Unternehmen sollten sich aber auch darüber bewusst sein, dass sie selbst unfreiwillig und unwissentlich Teil eines Botnetzes werden können und damit zum Angreifer anderer Unternehmen werden.

Ist das Unternehmen nicht ausdrücklich auf offene rekursive Server angewiesen, ist es ratsam, besser auf sie zu verzichten. DNS-Anfragen an rekursive Server sollten ausschließlich für interne IP-Adressen zulässig und der Zugriff auf autorisierte Nutzer beschränkt sein.

Unternehmen, die autoritative Name Server einsetzen, können mithilfe des Response Rate Limiting (RRL), welches in den BIND Nameserver eingebaut ist, die Amplifizierung von Anfragen erschweren. Gleichzeitig wird das Aussenden von Antworten an immer dieselbe IP-Adresse geblockt, sollte das Datenvolumen den vorher festgelegten Schwellenwert übersteigen. Das Upgrade eines Name Servers auf eine neue Version inklusive RRL verringert die potenziellen Angriffsmöglichkeiten auf die DNS-Infrastruktur.

Der erste Schritt zu einem vor DDoS-Attacken sicheren Domain Name System ist das Verstehen und Erkennen solcher Angriffe. Nur dann kann ein Unternehmen die eigene Infrastruktur schützen und vermeiden, selbst zum Teil eines großen, andere Firmen angreifenden Botnetzes zu werden.

Über den Autor

Rainer Singer ist Systems Engineering Manager Central Europe bei Infoblox.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42716424 / Bedrohungen und Attacken)