Mac-Reinigungsviren
Dns Amplification Attack
Verstärkerangriff auf DnsIn NS tinnie.arin.net. ;;; AUTORITÄTSBEGRIFF: ripe.net. In NS 368 ns3.nic.fr. reifes.netz. Die 368 IN NS tinnie.arin.net. reif. reines.netz. Die 368 IN NS sec3.apnic.net. reif. reif. In NS NS pri.authdns.ripe.net. ripe.net. In NS sns-pb.isc.org. reif. reif. Zusätzlicher Abschnitt: 368 IN NS sec1.apnic.net:
DDoS-Angriffe: So sichern Firmen ihr DNS
Laut einer Studie des DDoS-Verteidigungsspezialisten Arbor Networks war ein gutes Viertel aller im vergangenen Jahr untersuchten Firmen Gegenstand eines DDoS (Distributed Denial of Service)-Angriffs auf ihre DNS-(Domain Name System Server)-Server. Das zunehmende Sicherheitsrisiko verdeutlicht auch der Cisco Security Report 2014 - die Security-Experten haben herausgefunden, dass jedes einzelne von ihnen geprüfte Untenehmen bereits von DDoS-Angriffen befallen war.
Doch trotz der immer größer werdenden Bedrohung ergreifen sie nicht die erforderlichen Vorsichtsmaßnahmen, um einen wesentlichen Teil ihrer IT-Infrastruktur abzusichern. In diesem Artikel wird aufgezeigt, wie DNS-basierte DDoS-Angriffe arbeiten und was Firmen dagegen tun können. Dazu verwenden die Täter die IP-Adresse ihres Täters und leiten Anforderungen an viele unterschiedliche Nameserver weiter - die ihrerseits ihre Antwortmöglichkeiten zurücksenden.
Hier verwenden die Täter jedoch oft einen so genannten DNS-Verstärkungsangriff, einen "intensivierten" Attack, bei dem die Nameserver sehr große Mengen an Daten auf eine angeblich kleine Anforderung hin zurücksenden. Diese Methode hat sich besonders seit der Einführung der standardmäßigen DNSSEC (Domain Name/Domainnamen Security Extensions) durchgesetzt, die zum digitalen Signieren von DNS-Einträgen verwendet werden.
So wird beispielsweise eine Anforderung mit einer Größe von nur 44 Byte von einer entführten IP-Adresse an eine Domäne mit dem DNSSEC-Standard gesendet, die eine Rückmeldung mit einer Größe von mehr als 4000 Byte löst. Sie können auch leicht vervielfacht werden, wenn ein Botnet mit mehreren tausend Computern Anforderungen an den selben Ziel-Server sendet.
Zahlreiche Nameserver können so konfiguriert werden, dass sie feststellen, wann sie immer wieder Anforderungen für dieselben Datensätze von der selben IP-Adresse aus empfangen. Es gibt aber auch offen zugängliche Rekursivserver - geschätzte 33 Mio. Stück auf der ganzen Welt. Wie kann sich ein Untenehmen gegen solche Attacken absichern? Zuerst muss es sich anmelden, wann (und wann) ein derartiger Anschlag auftritt.
Vielen Firmen ist nicht bekannt, wie groß ihr reguläres Anforderungsvolumen ist. Obwohl nicht immer eindeutig ist, wie ein solcher Anschlag aussieht, können Statistiken dazu beitragen, einen Durchschnittswert zu ermitteln und Anomalien rasch aufzudecken. Darüber hinaus sollten Firmen jede einzelne Infrastrukturkomponente des Unternehmens intensiv auf Sicherheitsrisiken hin untersuchen - insbesondere auf solche, die unmittelbar mit dem Netz in Verbindung stehen.
Dies umfasst nicht nur die extern autorisierten Nameserver, sondern auch das Zusammenspiel von Switchen und Router, Firewall und allgemeinen Internetverbindungen. Unmittelbar nach der Entdeckung von Sicherheitsrisiken kann ein Untenehmen über den Umgang mit ihnen selbst bestimmen. Äußere autoritäre Nameserver sollten sich an so vielen verschiedenen Orten wie möglich an einem Ort des Geschehens aufhalten. Dies trägt nicht nur zur Vermeidung von Sicherheitslücken bei, sondern reduziert auch die Antwortgeschwindigkeit, indem es immer auf den dem kundennächsten Nameserver reagiert.
Zur Vermeidung der Ausmusterung durch eine große Masse von Antworten sollten Firmen auch darüber nachdenken, ob sie nicht über mehr Mittel verfügen, als tatsächlich erforderlich sind (Overprovisioning). Cloudbasierte DNS-Provider betrieben ihre eigenen Nameserver in ihren weltweiten Datenzentren. Diese können so eingestellt werden, dass sie die firmeneigenen Nameserver ersetzen - durch Datensätze von einem Master-Nameserver, der seinerseits intern gemanagt wird.
Zugleich sollten die Firmen aber auch dafür Sorge tragen, dass sie nicht unbeabsichtigt zu Mittätern von DDoS-Angriffen gegen andere werden. Wenn eine Firma nicht Teil der Kleingruppe ist, die offen rekursive Nameserver betreibt, kann sie die DNS-Anfragen, die IP-Adressen in einem firmeneigenen Netz ansprechen, einschränken. Somit haben nur berechtigte Benutzer Zugang zu diesen empfindlichen, sich rekursiv ändernden Nameservern.
Für diejenigen, die wirklich autoritäre Nameserver einsetzen, gibt es die so genannten Response Rate-Limiting-(RRL)-Funktion, die in die BIND-Nameserver eingebunden ist.
Anti-Malware-Byte
Mithilfe von Microsoft
Nordost
Schadprogramm Hunter Deutsch
Spyware und Viren
Testversion von Avast
Entführung kostenloser Download
Gratis Reiniger für PC
Kein Internet nach der Deinstallation von Avira
Virenschutzprogramm Windows 10 Kostenlos
Bitterschutz ohne Login
Mit Windows 10 ohne Nachteile für Microsoft-Konten
Virenentfernung kostenlos umleiten
Entferntes Werkzeug von Microsoft
Netzvcs Cpu
Vergleich der Antivirensoftware
Diebstahl von Daten
Abwehr von Spyware und unerwünschter Software
Download der Avast Internet Security Lizenzdatei für Internet Security
Installieren von Malwarebytes auf Usb Stick
BOT FREI eu Cleaner Mobile
Deinstallation von Avira Desktop
Installationsprogramm für Avast Antivirus
Das Bitdefender Antivirenprogramm ist kostenlos Englisch
Anmeldung am Microsoft Office Konto
Entfernen Sie den Virus auf dem I-Phone
Kostenloser Anti-Malware-Download für Windows 7
Windows 10 Netsvcs
Gratis Antivirenprogramm herunterladen
Überprüfen des Mobiltelefons auf Malware
Spyware-Entfernung programmieren
Testversion von Avast Internet Security 2016
Tragbarer Trojaner-Scanner
PC-Reiniger Mac
Wo kann ich Avira löschen?
Kostenloses Antivirenprogramm für Tabletts von Avast
Sicherheit 2017 Gratis
Was Windows
Ein Trojaner entfernt Android frei
Anti-Byte Malware Download
Dienstleistungen Svchost Exe
Virenschutz Freeware
Viren Android Handy Entfernung
Anti-Spyware - Was ist das?
Lizenzschlüssel für Avast Internet Security 2017
Bausatz Windows 10 Download
Kostenloser Computerreiniger
Die Avira im abgesicherten Modus
1 Jahr Avast Kostenloser Download
Probleme mit Bitdefender 2017