What Is a DNS Flood Attack?

DNS-Flood-Angriffe sind Distributed-Denial-of-Service-Angriffe (DDoS), die auf DNS-Server abzielen. Diese Angriffe verweigern den Zugriff auf DNS, ein wichtiges Internetprotokoll, das Benutzern den Besuch von Websites ermöglicht. Wenn Benutzer keinen Zugriff auf DNS haben, können sie keine Websites aufrufen, deren DNS-Einträge von diesem DNS-Server gehostet werden.

Lesen Sie das E-Book Weitere Informationen

Kurzeinführung zu DNS

Hier ist eine vereinfachte Übersicht über die Funktionsweise des Domain Name Service (DNS):

  1. DNS-Abfrage: Wenn Sie eine Website-Adresse in Ihren Browser eingeben, sendet ein Computer eine Anfrage (DNS-Abfrage) an einen nahegelegenen Server, einen sogenannten rekursiven Resolver. Diese berechtigte Abfrage lautet im Wesentlichen: „Wie lautet die IP-Adresse für diesen Website-Namen?“
  2. Die Suche: Der rekursive Resolver fungiert wie eine Telefonzentrale und kontaktiert autorisierte Nameserver. Dies sind spezialisierte Server, die die vertrauenswürdigsten Daten (IP-Adresse) für einen bestimmten Domänennamen enthalten.
  3. DNS-Antwort: Sobald der autoritative Server die IP-Adresse gefunden hat, sendet er eine Antwort zurück an den rekursiven Resolver.
  4. Die Antwort: Der rekursive Resolver leitet diese Information (IP-Adresse) dann an Ihren Computer weiter.
  5. Verbindung hergestellt: Ihr Computer verfügt nun über die erforderliche Adresse und kann sich direkt mit der Website verbinden.

Wie funktioniert ein DNS-Flood-Angriff?

Bei einem DNS-Flood-Angriff werden DNS-Server mit einer großen Menge an Anfragen nach gefälschten Website-Adressen überlastet.

  • Normalbetrieb: Wenn Sie versuchen, auf eine Website zuzugreifen, kontaktiert Ihr Computer einen DNS-Server. Der DNS-Server fungiert wie ein Telefonbuch und übersetzt den Domänennamen in eine numerische Adresse (Quell-IP-Adresse), die Ihr Computer versteht.
  • Der Angriff beginnt: Hacker bombardieren den DNS-Server mit einer riesigen Menge an Anfragen nach nicht vorhandenen oder ungültigen Website-Adressen.
  • Systemüberlastung: Der DNS-Server ist beim Versuch, auf alle DNS-Anfragen zu antworten, überlastet. Es ist, als ob man mit falschen Telefonnummern überschwemmt wird, was es schwierig macht, die tatsächlich gesuchte Nummer zu finden.
  • Auswirkungen: Da der Server mit der Verarbeitung von Datenmüll beschäftigt ist, kann er nicht auf legitime Anfragen nach echten Website-Adressen reagieren. Dies führt zu Website-Ausfällen oder langsamen Ladezeiten.

DNS-Flood-Angriffe können auf verschiedene Arten durchgeführt werden, aber eine der häufigsten Bedrohungen ist ein Internet der Dinge (IoT)-Botnetz. Diese Sammlungen kompromittierter IoT- Geräte können verwendet werden, um enorme Datenmengen an einen DNS-Resolver zu senden – und ihn offline zu schalten, wenn er nicht über ausreichende Abwehrmaßnahmen gegen DDoS verfügt.

Auswirkungen eines DNS-Flood-Angriffs

Dies sind die häufigsten Auswirkungen eines DNS-Flood-Angriffs:

Impact Beschreibung
Website-Ausfälle Auf die vom Ziel-DNS-Server bereitgestellten Websites kann nicht mehr zugegriffen werden. Benutzer erhalten Fehlermeldungen oder leere Seiten.
Langsame Ladezeiten Eine Flut gefälschter Anfragen überlastet die Server, verzögert die Verarbeitung legitimer Anfragen und führt zu einem langsamen Laden der Website.
Gestörte Online-Dienste Unterbricht Onlinedienste (E-Mail, Online-Banking), die auf den Ziel-DNS-Server angewiesen sind.
Produktivitäts- und Umsatzverlust Website-Ausfälle und langsame Ladezeiten können für Unternehmen zu Produktivitäts- und Umsatzeinbußen führen.
Reputationsschaden Angriffe können den Ruf eines Unternehmens schädigen und das Vertrauen der Kunden beeinträchtigen.

DNS ist ein potenzieller einzelner Ausfallpunkt in der modernen Netzwerkinfrastruktur.

Wenn eine Organisation für die Auflösung ihres Domänennamens auf einen oder wenige DNS-Server angewiesen ist, kann eine DNS-Flood-Attacke, die diese Server zum Absturz bringt, dazu führen, dass die Website für Benutzer unzugänglich wird – was zu potenziellen finanziellen Verlusten führt. Das bekannteste Beispiel für diese Art von Angriffen war ein Angriff auf Dyn im Jahr 2016, der Ausfälle auf wichtigen Websites wie Netflix, PayPal und Twitter verursachte.

Abwehr von DNS-Flood-Angriffen

Gegen DNS-Flood-Angriffe ist ein Schutz schwierig, da sie auf Server abzielen, die öffentlich zugänglich sein müssen und Spam, aber auch potenziell legitimen Datenverkehr enthalten. Zu den Methoden, die diese Angriffe erschweren oder ihre Wirksamkeit einschränken, gehören:

  • Überbereitstellung von Ressourcen: DNS-Flood-Angriffe zielen normalerweise darauf ab, die Netzwerkbandbreite oder die Rechenkapazität von DNS-Servern zu verbrauchen. Eine Überdimensionierung der Netzwerkbandbreite und der Server verhindert zwar keinen Angriff, erhöht jedoch das Datenverkehrsvolumen, das der Angreifer erzeugen und aufrechterhalten muss, um seine Ziele zu erreichen.
  • Anycast DNS: Anycast-Netzwerke senden Datenverkehr unter Verwendung einer bestimmten IP-Adresse an den nächstgelegenen von mehreren Computern. Bei einem global verteilten Netzwerk aus DNS-Servern, das Anycast-Netzwerke nutzt, ist es für einen Angreifer wesentlich schwieriger, ein derartiges Datenverkehrsvolumen zu erzeugen, dass die gesamte DNS-Infrastruktur einer Organisation überlastet.
  • DNS-Caching: Beim DNS-Caching werden Kopien häufig aufgerufener DNS-Einträge in einem Netzwerk verteilter Server gespeichert. Wenn eine DNS-Anfrage den Cache erreicht, wird sie nicht an den DNS-Ursprungsserver weitergeleitet, wodurch die Belastung dieses Servers reduziert wird.
  • Ratenbegrenzung: DNS-Flood-Angriffe versuchen, einen DNS-Server mit bösartigem Datenverkehr zu überlasten. Durch die Implementierung einer Ratenbegrenzung wird das Datenverkehrsvolumen verringert, das eine bestimmte IP-Adresse an den Server senden kann. Dadurch können die Auswirkungen eines DNS-Flood-Angriffs verringert werden.
  • Geografische Blockierung: IoT-Botnetze sind im Allgemeinen verteilt, sodass der Angriffsverkehr aus einer bestimmten Region oder aus der ganzen Welt kommen kann. Wenn sich die Benutzer eines Dienstes in einer bestimmten Region befinden, kann das Blockieren des Datenverkehrs von außerhalb dieser Region das Volumen des Angriffsverkehrs verringern.

Der beste Schutz vor DNS-Flood-Angriffen ist der Einsatz von DDoS-Mitigationslösungen. Diese Dienste können DNS-Flood-Verkehr identifizieren und filtern und so verhindern, dass ein DNS-Server überlastet wird, ihm aber gleichzeitig die Möglichkeit geben, legitime Benutzer zu bedienen.

So wehrt Check Point DNS-Flood-Angriffe ab

Der Schutz der DNS-Infrastruktur ist für das reibungslose Funktionieren des Internets von entscheidender Bedeutung. DNS-Flood-Angriffe stellen für diese Systeme ein erhebliches Risiko dar, da sie die DNS-Server mit mehr Datenverkehr überlasten können, als sie verarbeiten können.

Darüber hinaus verringern die meisten Lösungen zur Abwehr dieser Angriffe lediglich deren Wirksamkeit, blockieren sie aber nicht vollständig. Der beste Schutz vor DNS-Floods und ähnlichen Angriffen ist eine DDoS-Mitigationslösung.

Check Point Quantum DDoS Protector bietet robusten Schutz selbst gegen die größten Angriffe und nutzt Maschinelles Lernen und KI, um DDoS-Angriffe mit bis zu 800 GB/s in Echtzeit zu erkennen und zu verhindern. Erfahren Sie in diesem Datenblatt mehr über die Funktionen von Quantum DDoS Protector und wie es die Anfälligkeit Ihres Unternehmens für DNS-Floods und andere DDoS-Angriffe verringern kann.

Loslegen

Check Point Quantum DDoS Protector

Quantum Spark Small Business Firewall

Quantum -NGFW

quantum titan

Verwandte Themen

Was ist DNS?

DDOS-Angriff

Was ist DNS-Sicherheit?

Was ist Bedrohungsabwehr?

Security Operations Center (SOC)

×
  Feedback
Diese Website verwendet Cookies für ihre Funktionalität sowie für Analyse- und Marketingzwecke. Mit der weiteren Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen finden Sie in unserem Cookies Hinweis.
OK