DNS - Part 2

Schützen Sie Ihr DNS und damit Ihr Unternehmen (Teil 2)

Was passiert, wenn das DNS nicht funktioniert?

Ein nicht funktionierendes DNS kann natürlich Probleme verursachen. Dabei muss zwischen zwei Arten von Störungen unterschieden werden, die die DNS-Auflösung verhindern: unabsichtliche und absichtliche Störungen.

Unabsichtliche Störungen

In diesem Fall hat niemand bewusst dafür gesorgt, dass der DNS-Dienst nicht richtig funktioniert. Ursachen können dann beispielsweise Konfigurationsfehler oder ein Hardwareausfall sein.  Erfahrene IT-Administratoren werden mit solchen Problemen in der Regel schnell fertig, vor allem, wenn die IP-Adressen oder Domainnamen unverändert sind, es also nur um die Wiederherstellung geht. Liegt jedoch eine Änderung der IP-Adresse oder des Domainnamens vor, dann dauert es in der Regel selbst dann, wenn das Problem an der Quelle schnell behoben wurde, mindestens 24 Stunden, bis die Änderungen über das DNS an ausreichend viele Server übermittelt wurden, sodass sich der Unterschied bemerkbar macht.  Dieser Vorgang wird als Propagation bezeichnet: DNS-Server tauschen untereinander Informationen aus, damit möglichst viele Dienste erfahren, wie eine bestimmte Domain in die entsprechende IP-Adresse aufgelöst werden kann. Diese Verzögerung kann Ihren Kunden und Besuchern große Unannehmlichkeiten bereiten.

Absichtliche Störungen

Allerdings gibt es auch Fälle, in denen DNS-Fehler absichtlich von Personen oder Organisationen herbeigeführt werden – meist mit der Absicht, dem Eigentümer einer Domain zu schaden. Dies ist in der Vergangenheit schon oft vorgekommen. Auch große Unternehmen waren bereits Ziel solcher Angriffe, u. a. Facebook, Google, Twitter, AVG, Avira und WhatsApp.

Im Folgenden wollen wir uns ansehen, wie jemand Ihre DNS-Einträge manipulieren kann.

Registrar-Manipulation

Das DNS ist ein Dienst, und wie bei jedem anderen Dienst auch muss es einen Dienstprovider geben, der die Infrastruktur zum Hosten der Einträge bereitstellt – in diesem Fall: die Tabellen, anhand derer Namen und IP-Adressen zugeordnet werden. Diese Dienstprovider werden normalerweise Registrare genannt. Es handelt sich dabei um große Internetanbieter wie Comcast, 1&1, Network Solutions usw. Wird einer dieser Anbieter Opfer eines Hacking-Angriffs, dann kann der Angreifer die DNS-Einträge aller dort gehosteten Domains ändern. In den letzten zwölf Monaten wurden mehrere große Registrare gehackt, was zum Ausfall zahlreicher Domains führte.

Angriffe solcher Art können im Extremfall weltweite Auswirkungen haben, da meistens maßgebliche DNS-Server betroffen sind.

Cache Poisoning

DNS Cache Poisoning oder DNS-Spoofing ist ein komplexer Angriff, da er eine bestimmte Nutzergruppe zum Ziel hat. Solche Angriffe richten sich gegen die Nutzer, die von dem gehackten Dienst abhängig sind.  Dazu kann es kommen, wenn es einem Angreifer gelingt, schadhafte DNS-Daten in die von vielen anderen Internetanbietern betriebenen rekursiven DNS-Server einzuschleusen. Der Angreifer wählt normalerweise die DNS-Server aus, die aus netzwerktopologischer Sicht am nächsten an der Zielgruppe sind. Attacken dieser Art lassen sich am besten mit DNSSec verhindern. Sollte dies nicht möglich sein, können die DNS-Einträge auch geschützt werden, indem die Propagation auf Server begrenzt wird, die vorzugsweise aktuellere Informationen aus dem Internet abrufen, anstatt Einträge über längere Zeit im Cache zu speichern, um Bandbreite und Zeit zu sparen.

Legale DNS-Übernahme

Während der oben dargestellte Fall illegal ist, ist diese Übernahme absolut legal, da sie per Gerichtsbeschluss durchgesetzt wird. Sie wird direkt vom Registrar durchgeführt, ohne Rücksprache mit dem Eigentümer der Domain. Vor Kurzem konnte sich Microsoft in einem Fall, in dem auf US-Domains Malware gehostet wurde, die Verwahrungsrechte für die DNS-Einträge des bekannten Dienstes NO-IP Managed DNS sichern. Infolgedessen konnten Tausende unbescholtener Nutzer, die den Dienst von NO-IP nutzten, ihre Domains nicht mehr auflösen. Die Kunden verwendeten eine Form von <user-dns>.no-ip.com und mehrere andere Hosts, um ihre eigenen Domains zu erreichen. Ohne die Basisdomain no-ip.com funktionierte keine einzige Subdomain mehr.

Dies kann jederzeit und in jedem Land passieren, denn die Rechtslage in puncto Cyberkriminalität ist (immer noch) sehr unklar.

Die mobile Version verlassen