Zum Inhalt springen Weiter zur Suche
Testversion
Blog

Aktiver DNS-Schutz vor DDoS-Angriffen

A10 Blog / Netzwerksicherheit / Aktiver DNS-Schutz vor DDoS-Attacken
A10 Personal
A10 Personal
|
August 28, 2017

Heute möchte ich mich auf den hochgradigen DDoS-Schutz von A10 für DNS-Dienste konzentrieren, der die Schutz- und Filterfunktionen der A10 Thunder Thunder® Threat Protection System (TPS™) Plattform nutzt. Wie Sie lesen werden, ist dies ein wichtiges Thema. Los geht's.

DNS-Schutz ist für Ihre Infrastruktur von entscheidender Bedeutung

Zunächst einmal das Offensichtliche: Das Doman Name System (DNS ) ist ein wichtiger Dienst für alle Akteure im Internet: Infrastrukturanbieter, Anwendungsbesitzer und Internetnutzer.

In seiner einfachsten Form ist DNS wie ein Telefonbuch für das Internet: Es ordnet den Namen der Website, die ein Nutzer sucht, der richtigen IP-Adresse zu. So wird zum Beispiel der Domänenname A10Networks.com mit der IP-Adresse dieser Website synchronisiert, um die gewünschte Website zu liefern. Dank DNS müssen sich Webnutzer nicht mehr die umständliche IP-Adresse einer Website merken, die in diesem Beispiel 54.244.228.74 lautet.

Schätzungen zufolge gibt es mehr als 300 Millionen Domänennamen, die Milliarden von Internetnutzern miteinander verbinden. Und ohne sie würde das Internet nicht funktionieren.

Das Problem ist, dass das Doman Name System aus vielen beweglichen Teilen besteht, was es zu einem kritischen Ziel für Cyberangreifer macht und was Unternehmen schützen müssen.

Denken Sie daran, dass Ihre Investitionen in die Verfügbarkeit von webbasierten und Datenbankdiensten durch Angriffe auf die DNS-Infrastruktur zunichte gemacht werden können. Ein DDoS-Angriff (Distributed Denial of Service) auf Ihre DNS-Infrastruktur kann dazu führen, dass Ihre Website oder Ihre Anwendungen komplett unerreichbar werden. Das ist ein schwerer Fehler.

Deshalb haben es Angreifer auf DNS-Server abgesehen: Die Folgen können katastrophal sein. Für einen cleveren Angreifer bedeutet das, dass ein kleiner Aufwand eine Menge Schaden anrichten kann.

Deshalb wird es für Netzbetreiber immer wichtiger, ihre DNS-Infrastruktur angemessen zu schützen und wirksame DDoS-Schutzmaßnahmen einzuführen, damit sie nicht die Konsequenzen tragen müssen.

Rekursive DNS-Server gegenüber autoritativen DNS-Servern

Der Schutz von DNS vor DDoS-Angriffen beginnt mit dem Verständnis der beiden Arten von DNS-Servern: rekursive DNS-Server und autoritative DNS-Server.

Rekursive DNS-Server liefern die richtige IP-Adresse des gewünschten Domänennamens an den Host, der sie anfordert. Es ist so, als ob man die Telefonzentrale anruft (wie im Mittelalter) und diese die Nummer aus verschiedenen Quellen für einen abruft. Rekursive Server sind die Helferserver.

Autoritative DNS-Server liefern den rekursiven Servern Antworten mit IP-Zuordnungsdaten der gewünschten Website. Stellen Sie sich die autoritativen DNS-Server als Fänger oder Empfänger vor - sie speichern die Informationen und geben sie an die rekursiven DNS-Server weiter.

DNS als Ziel eines DDoS-Angriffs

Das Doman Name System (DNS) kann Ziel von Angriffen zur verdeckten Ressourcennutzung oder Datenexfiltration sein, aber die größte Bedrohung sind DDoS-Angriffe. Wenn DNS für das Funktionieren Ihrer Anwendung oder Website unerlässlich ist, ist ein Ausfall der DNS-Dienste ein Todesstoß.

Die Durchführung eines DDoS-Angriffs gegen die DNS-Infrastruktur ist relativ einfach: Ein Angreifer sendet Anfragen, die wie legitime Benutzer aussehen, an DNS-Server, und diese Server versuchen, Antworten zu geben. Dies geschieht in großem Umfang, oft mit Botnetzen, um DNS-Dienste zu überwältigen.

Die häufigsten Arten von Angriffen auf die DNS-Infrastruktur sind Netzwerküberflutungen und die Erschöpfung von Ressourcen. Bei diesen Arten von DDoS-Angriffen zielt ein Angreifer auf einen DNS-Server und überflutet ihn mit scheinbar legitimem Datenverkehr, so dass er keine Anfragen mehr bearbeiten kann.

Da DNS-Antworten eine komplexe Verarbeitung erfordern können, bieten sie einzigartige Möglichkeiten für volumetrische Angriffe. Außerdem können DNS-Angriffe aufgrund des UDP-basierten Transportmechanismus leicht gefälscht werden, und gefälschte Angriffe sind schwer zu erkennen. DNS-Server können zusätzlich belastet werden, wenn sie versuchen, Anfragen für Domänennamen zu beantworten, die gar nicht existieren.

Das Doman Name System (DNS) ist auch anfällig für Amplifikationsangriffe, da die Größe der Anfragen und Antworten sehr unterschiedlich ist, sowie für Reflexionsangriffe, die Millionen ungesicherter offener DNS-Resolver nutzen.

Ein Angreifer kann beispielsweise eine 60-Byte-Anfrage senden, die eine 6.000-Byte-Antwort generiert. Wenn eine solche Anfrage mit einer hohen Rate unter Verwendung gefälschter Quell-IP-Adressen oder kooptierter Agenten wiederholt wird, kann das Ergebnis ein massiver DDoS-Angriff sein, der den DNS-Dienst überfordert.

Netzwerkadministratoren stehen vor der Herausforderung, DNS-Schutzrichtlinien zu implementieren, die legitime Benutzer von Angreifern unterscheiden können, um schädliche Aktivitäten zu blockieren und einen reibungslosen Betrieb ohne Unterbrechungen zu gewährleisten. Hier kommt A10 Thunder TPS ins Spiel.

Wie A10 hilft

Thunder TPS bietet Multi-Vektor-DNS-DDoS-Schutz, um die Verfügbarkeit von Unternehmensdiensten in jedem Umfang zu gewährleisten. Thunder TPS bietet DDoS-Schutz für allgemeine Netzwerkangriffe sowie Schutz für DNS-spezifische Vektoren. Übersetzung: Thunder TPS schützt Ihr Netzwerk, Ihre Anwendungen und Ihre DNS-Server vor diesen kolossalen DDoS-Angriffen, von denen Sie immer wieder lesen.

Wie wird dies erreicht? Thunder TPS bietet quellen- und zielbasierte Filterung und Begrenzungen, Erkennung ungültiger und fehlerhafter Pakete sowie Mechanismen zur automatischen Eskalation von Friedensrichtlinien durch mehrere Stufen von DDoS-Abwehrrichtlinien.

Und wenn es um DNS-spezifische Vektoren geht, schützt Thunder TPS an mehreren Fronten.

Sie begrenzt die Rate der zufälligen Abfragen von Namen. Zufällige Abfragenamen umfassen eine Reihe verschiedener DNS-spezifischer Angriffe, darunter Water Torture und Phantom Domain-Angriffe, die zu den häufigsten und problematischsten Arten von DNS-Angriffen gehören. Diese Angriffe sind besonders effektiv gegen DNS-Caching-Appliances, die zur Leistungssteigerung eingesetzt werden.

Thunder TPS verfügt über UDP- und TCP-basierte Abfrage-Authentifizierungsmechanismen, die es Thunder TPS ermöglichen, Quellen von bösartigem Datenverkehr automatisch zu identifizieren und zu entschärfen.

Und Thunder TPS schränkt kostspielige Abfragen mit begrenztem praktischen Nutzen ein. Außerdem werden die Abfragen pro Domäne oder nach DNS-Eintragstyp begrenzt. Dies ist wichtig, weil es Angreifer daran hindert, einen bestimmten Domänennamen mit Abfragen zu bombardieren, um andere Domänen zu schädigen, indem sie die gesamte DNS-Serverfarm zum Absturz bringen. Einige Hosting- und DNS-Registrar-Kunden von A10 haben festgestellt, dass die Angreifer sogar einige unsinnige Domänennamen unter einem gefälschten Firmennamen vom Provider kaufen und dann diese Domänennamen angreifen, um den Kollateralschaden zu verursachen.

Die Bereitstellung von DDoS-Schutz und -Minderung ist eine wichtige erste Komponente beim Betrieb einer stabilen DNS-Infrastruktur. Dies war nur ein kurzer Überblick. Wenn Sie mehr darüber erfahren möchten, haben wir vor kurzem eine Lösungsübersicht zu diesem Thema veröffentlicht.

Lesen Sie mehr über A10 Thunder TPS in unserem Datenblatt.

Teilen Sie diesen Beitrag:

Auf LinkedIn teilen
Kategorien:
Netzwerksicherheit
Vorheriger Beitrag
Nächster Beitrag
A10 Personal
A10 Personal
|
August 28, 2017

Weiterlesen

Sehen ist Glauben.
Vereinbaren Sie noch heute eine Live-Demo.

Produkt-Demo anfordern

Verwandte Ressourcen

  1. DDoS-Angriffsvermeidung und bewährte Praktiken für den DDoS-Schutz
  2. Lösungen für DDoS-Schutz und DNS over HTTPS gewinnen auf der Interop Tokyo
  3. Bereitstellung von DDoS-Schutz, HTTP/3- und QUIC-Protokollschutz