Daher hängt der Zustand der angeschlossenen Internetdomänen immer vom Zustand der DNS-Server ab. Dies ist mit einer möglichen allmählichen Wahrnehmung von Schadprogrammen verbunden: Sie arbeiten ständig an der Entwicklung neuer Schadprogramme, die mit Bot-Betreibern in Verbindung treten und über das Domain Name System greifen können. Die neue Botnetzgeneration und andere fortgeschrittene persistente Bedrohungen (APTs) nutzen DNS immer häufiger, um Rechner für ihre Aufgaben zu befallen und zu nutzen, sowie um raffinierte Übergriffe auf Netze durchzuführen oder andere verbrecherische Aktivitäten zu unterdrücken.
Diese DNS-basierten Zugriffe sind zum einen Störungen von DNS-Diensten wie DOS/DDOS-Angriffe, Cache-Poisoning oder Man-in-the-Middle (MITM)-Angriffe. Auf der anderen Seite starten Hacker auch Anschläge, indem sie ein DNS-Unternehmen bespitzeln und die von ihnen erfassten Informationen wieder verkaufen oder anderweitig profitabel ausnutzen. Die beiden DNS-basierten Zugriffe zeigen Gefährdungen auf, die im Folgenden genauer erläutert werden.
Die Cachevergiftung ist eine der bedeutendsten Arten von Angriffen. Angriffe versenden an den DNS-Resolver veränderte DNS-Adressen, die dann im DNS-Cache abgelegt werden. Andere Bedrohungen sind Angriffe auf das DNS-Protokoll. Dabei versenden die Täter die manipulierten DNS-Anfragen oder Antworten an den Ziel-DNS-Server. Auch Malware-Autoren können Man-in-the-Middle-Angriffe auslösen.
Als bekannteste Angriffsarten gelten DNS-Wechsler (Malware) oder Attacken durch unautorisierte Umleitung. Die Hauptabsichten der Täter sind unter anderem die Verunstaltung von Websites, Hackerangriffe, Pishing und Derbstahl. Beim DNS-Tunneling verwenden Hacker das Domain Name System als verborgenen Channel. Ist keine andere Kommunikationsmöglichkeit gegeben, kann die Schadsoftware Kommandos vom Täter entgegennehmen, implementieren und ihre entwendeten Informationen unauffällig an ihn durchgeben.
Domain-Phishing ist der Raub einer legitimen Domain und deren Weiterleitung auf eine alternative, von Hackern kontrollierte Domain. Anhand der geklauten vertraulichen Daten wie Benutzernamen, Passwörter, Sozialversicherungsnummer, PIN und Kreditkarte können sie den Angriff beginnen. In der ersten Version greifen die Angriffe der Täter die DNS-Infrastrukturserver an.
In der zweiten Version benutzen sie den DNS-Server, um einen Angriff auszulösen. Um die Internetverbindung eines Benutzers zu überladen, übertragen sie sehr große Datenmengen. Es gibt auch Reflektierende DDOS-Angriffe, bei denen Angriffe mit gefälschten DNS-Anfragen den DNS-Server veranlassen, große unerbetene DNS-Antworten zu versenden und den Zielrechner anzugreifen.
Es werden nur kleine DNS-Anfragen an viele verschiedene DNS-Server gesendet, damit die Betroffenen sie nicht wahrnehmen. Mithilfe des Domain Name Systems können Angreifer massive DDOS-Angriffe anstoßen. DNS-Fastfluxing, eine Art Angriff von Botnets, macht den Ort spezieller Server unerkennbar. Beim Domain-Fluxing hingegen ändern sich die Zuordnungen von mehreren kompletten Domainnamen immer wieder.
Advanced Peristent Threats (APTs) sind Angriffe, die es Angreifern ermöglichen, einen Netzwerkzugang zu erhalten, der lange Zeit unbemerkt ist. Diese bestehen aus fortschrittlicher, hartnäckiger Schadsoftware, die von Hackern nur entwickelt und verwendet wird, um ein spezifisches Angriffsziel zu erreichen. Die meisten von ihnen benutzen das Domain Name System, um mit ihrem C&C Server an einem anderen Standort zu sprechen.
So können sie weitere Malware-Pakete oder Anleitungen für Angriffe erhalten. Ein einziger Schutz vor all diesen Arten von Angriffen ist mit einer einzigen Technik nicht möglich. Darüber hinaus wird das Domain Namenssystem mit Firewall vor schädlichen Domains geschützt. DNSSEC (Domain-Namen Security Extensions) signiert DNS-Eingaben und stellt so sicher, dass keine verdächtigen Datenquellen diese Daten befallen.
Im Gegensatz dazu detektieren Data Leckage Protection (DLP) Überwachungssysteme einen Datenverlust über das Domain Name System oder andere Protokoll. Spezielle APT-bezogene Analysesysteme entdecken schrittweise APT-Malware, die über das Domain Name System mit den Kontrollservern kommunizieren. Das Domain Name System hat sich bei der Vermeidung von Schutzmaßnahmen zu einer erfolgversprechenden Option für Angriffe mit den oben erwähnten Verfahren weiterentwickelt.
Das Spektrum der Intentionen dieser Attentäter reicht von Spam, Wirtschaftsspionage und Hacktivismus bis hin zu Cyberkriegen und Politiker. Vor allem im vergangenen Jahr hat die Anzahl der DNS-basierten Attacken stark zugenommen. 2. Zur Autorin: Rainer Singer ist Systemingenieur CEUR bei der Firma Infoblox. Für diese Aufgabe ist er zuständig.