:quality(80)/p7i.vogel.de/wcms/d7/ca/d7ca53fb63877b71ed8f40be734754ca/0117973730.jpeg "Die große Leserwahl zum Security-Insider-Award 2024 hat begonnen! (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9f/ed/9fed7160871e01f51ccab928dbaeab92/0118467232.jpeg "Cyberkriminelle können durch eine Schwachstelle komplette Konten bei GitLab übernehmen. Zwei-Faktor-Authentifizierung schützt nicht vor dem Angriff aber vor der Kontenübernahme. (Bild: sasun Bughdaryan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/a1/2ba1aa634bb635185b992c84d6fafe4a/0118481703.jpeg "Eine Analyse aktueller Telemetriedaten von Kaspersky zeigt, dass Unternehmen im Schnitt zwei Cybervorfälle pro Tag verzeichnen müssen. (Bild: Sergey Nivens - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a3/51/a351d4b937d1f9dc0224fa277a3a74de/0118466557.jpeg "Bei Sniffing- und Man-in-the-Middle-Angriffen weiß der Betroffene eigentlich nie, dass ein Verbrecher da ist, bis er Maßnahmen ergreift. (Bild: somyuzu - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5d/34/5d34836fbfae674ca8e6f10841213b03/0118372926.jpeg ""Wie viel Kontrolle benötigt KI?", ein Interview von Oliver Schonschek, Insider Research, mit Oliver Keizers von Semperis. (Bild: Vogel IT-Medien / Semperis / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/71/1f/711feeca53f58761a7d711bf317aec47/0118276223.jpeg "Cullen Childress von SolarWinds warnt davor, KI zu vorschnell einzusetzen – mahnt in Sachen KI aber auch Technologie- und Fortschrittsoffenheit an. (Bild: SolarWinds)")
:quality(80)/p7i.vogel.de/wcms/c3/02/c302cd9efb930246cc8bde485a6f83ec/0118446808.jpeg "Erfolgreiche SIEM-Projekte setzen auf umfassende Tests, spezialisierte Teams und detaillierte Planung, um die umfangreichen Datenmengen effektiv zu analysieren und zu überwachen. (Bild: knssr - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4f/69/4f6904a6142ebe0d7976702b7c15b358/0118451654.jpeg "Das Sicherheitsupdate KB5034441 verursacht teilweise den Fehler 0x80070643, Microsoft wird dafür aber keinen Patch liefern. (Bild: EricPictures - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/0f/3a0f48a72d0ec33c3e9979f639caff9d/0118466573.jpeg "Mark Barcham, Head of Services Sales & Go-to-Market EMEA bei Arrow. (Bild: Arrow Electronics/Canva)")
:quality(80)/p7i.vogel.de/wcms/4c/6f/4c6fa12509d231ae90bf82565b5380eb/0118478841.jpeg "Verletzungen der Datensicherheit stellen laut „Check Point Cloud Security Report 2024“ die häufigsten Cloud-Sicherheitsvorfälle dar. (Bild: Mustafa - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/20/0a/200a0580874f1b3875df1b9bc65e8a39/0118421857.jpeg "Netbird verbindet die Sicherheit und Geschwindigkeit von WireGuard mit einer zentralen Zugriffssteuerung. Das Tool ist außerdem beim Einsatz mit bis zu 5 Personen und 100 Geräten kostenlos. (Bild: Vladimir - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cf/0d/cf0dcef3b9de9eb898ff2e52367e3047/0118249659.jpeg "Microsoft stellt Hotfixes für Exchange 2016 und 2019 zur Verfügung. (Bild: Production Perig - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3b/893b2aad437cb2ff84a9d879a9c48b6a/0118298118.jpeg "In diesem Tool-Tipp zeigen wir, wie der Einstig in die Nutzung des Metasploit Framework zum Pentesting im eigenen Netzwerk einfach klappt. (Bild: MrPanya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/91/5491e2c59cbe3754d963cbdac6f6be13/0118349502.jpeg "Aktuell gibt es umfassende Phishing-Angriffe auf LastPass-Nutzer. (Bild: Eightshot Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3d/e8/3de8c2c1c4d80064d3d8c86ff50e83a8/0118035467.jpeg "Der Trend zum mobilen Arbeiten, der anhaltende Umzug in die Cloud, der Anstieg an verbundenen Systemen, Geräten, Anwendungen sowie eine wachsende Anzahl von Kontakten und Identitäten sind wesentliche Treiber der Digitalisierung und der Notwendigkeit, externe Identitäten in Unternehmen zu nutzen. (Bild: natali_mis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fd/31/fd317aa6c5aa0f0eeb400110d1de5249/0117787015.jpeg "Windows Hello for Business verbessert die Art und Weise, wie sich Benutzer an ihren Geräten und innerhalb von Entra ID authentifizieren. (Bild: Fractal Pictures - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/72/0372ece5adc46f626b82eb5affb44e1b/0118441205.jpeg "Automatisierung in der IT-Sicherheit ist für Unternehmen ein entscheidender Faktor, um aktuelle Herausforderungen zu bewältigen und um sich proaktiv auf die Zukunft vorzubereiten. (Bild: Tierney - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/94/1f/941f77db5c1061ab5dafafb8d25a12b8/0118037871.jpeg "Cyberangriffe werden zunehmend als Bedrohung für die deutsche Wirtschaft wahrgenommen. In diesem Kontext bedeutet Glasfaserinternet für einen Großteil der Befragten Zuverlässigkeit und Stabilität. (Bild: 1&1 Versatel)")
:quality(80)/p7i.vogel.de/wcms/4b/c8/4bc87650edb2e4b320682b42c3000b8b/0118377216.jpeg "Der anhaltende Trend zum Hybrid Work bietet Cyberkriminellen neue Angriffsmöglichkeiten. (Bild: DuxX / Shutterstock.com)")
:quality(80)/p7i.vogel.de/wcms/a5/e3/a5e3b7833dd63fab7b7e0321969e45e0/0116955924.jpeg "FraudGPT ist ein auf Cyberkriminalität und Betrug spezialisierter, unmoderierter Chatbot auf Basis eines für kriminelle Zwecke trainierten LLM. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/ad/50/ad5047d54802f097069c426fec52a7c5/0116955909.jpeg "Ein Large Language Model (LLM ist ein mit riesigen Textmengen trainiertes, generatives Sprachmodell mit künstlicher Intelligenz. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Ohne DNS kein Internet DNS-Water-Torture-Angriffe nehmen zu
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/50/60506ac0f0156/cohesity-2-color-black-logo.png "Cohesity_2_Color_Black_Logo.png (Cohesity)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/64/05/6405f91ad489a/logo-pathlock.jpeg "logo-pathlock (Pathlock)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/62/ea/62ea2cb8944b9/arctic-wolf-logo.png "arctic-wolf-logo (Arctic Wolf)"){kind=logo}
Das Domain Name System (DNS) gerät zunehmend ins Visier von Cyberangreifern. Die meisten Angriffe auf DNS-Server bestehen aus einer Flut von DNS-Anfragen, die darauf abzielen, die Server zu überlasten. Bei einem Angriff ist das gesamte Unternehmen unerreichbar. Trotzdem werden DNS-Server oft noch nicht in die DDoS-Abwehrpläne von Unternehmen einbezogen.
Das Domain Name System (DNS) gerät zunehmend ins Visier von Cyberangreifern. DNS ist das Adressbuch des Internets, das Namen in IP-Adressen umwandelt, damit Geräte, Anwendungen und Dienste wissen, wohin sie Pakete senden sollen. DNS-Water-Torture-Angriffe stiegen laut NETSCOUT von durchschnittlich 144 täglichen Angriffen Anfang 2023 auf 611 Ende Juni, was einen Anstieg von fast 353 Prozent in nur sechs Monaten bedeutet. Der Angriff mit der größten Auswirkung betraf ~89,4 Millionen Abfragen pro Sekunde (mqps), was einen Anstieg der Angriffswirkung um 51,1 Prozent gegenüber dem gleichen Zeitraum im Jahr 2022 bedeutet.
Seit 1997 starten Cyberkriminelle Angriffe auf DNS-Server, um Anwendungen und Geräte zu stören. Wenn die Namen von Websites, ganz gleich um welchen Diensteanbieter es sich handelt, nicht aufgelöst werden können, hat das die gleiche Wirkung wie ein erfolgreicher Angriff auf den Dienst selbst. Dies gilt auch für wichtige Komponenten eines Unternehmens wie Webserver, Kollaborationsdienste oder VPN-Konzentratoren. Wenn die maßgeblichen DNS-Server eines Unternehmens mittels hoch entwickelter DDoS-Angriffe überlastet werden, ist das gesamte Unternehmen praktisch unerreichbar. Trotzdem werden DNS-Server oft noch nicht in die DDoS-Abwehrpläne von Unternehmen einbezogen.
DNS Query Flood vs. DNS Water Torture
Die meisten Angriffe auf DNS-Server bestehen aus einer Flut von DNS-Anfragen, die darauf abzielen, die Server zu überlasten, damit sie keine Namensauflösungsdienste für legitime Benutzer bereitstellen können. Diese DNS-Query-Flood-Angriffe können potenziell auf jede Art von DNS-Eintrag in der angegriffenen Domäne abzielen. Die effektivsten Angriffe beinhalten hohe Raten von Queries pro Sekunde (qps) für nicht existierende DNS-Einträge. Sie beanspruchen nicht nur direkt die Kapazität der angegriffenen DNS-Server zur Beantwortung legitimer Anfragen, sie veranlassen auch die angegriffenen DNS-Server dazu, negative Antworten zu generieren (im Falle von autoritativen DNS-Servern) oder weiterzuleiten (im Falle von rekursiven DNS-Servern). Dadurch wird die Belastung von DNS-Servern, die DNS-Query-Flooding-DDoS-Angriffen ausgesetzt sind, erheblich erhöht.
Seit 2009 wurde zunehmend eine besonders effektive Methode zur Erzeugung von DNS-Query-Flood-DDoS-Angriffen beobachtet: DNS-Water-Torture-Angriffe. Dabei werden pseudozufällig generierte DNS-Bezeichnungen entweder bestehenden DNS-Einträgen vorangestellt oder durch eine Bezeichnung in einem DNS-Eintrag ersetzt. Wörterbuchgesteuerte Label-Substitutionsangriffe, die sich auf Wörterbücher mit plausibel erscheinenden, aber letztlich nicht existierenden DNS-Labels stützen, sind zwar weniger verbreitet, können aber für unvorbereitete Unternehmen eine noch größere Herausforderung darstellen.
Am häufigsten angegriffene Branchen im Überblick
Die Branchen Wired und Wireless Breitbandaccess, ISP/Cloud/VPS/Hosting/Colocation sowie Versicherungen waren in den ersten sechs Monaten des Jahres 2023 besonders stark von DNS-Water-Torture-Angriffen betroffen:
- Wired Telekommunikationsanbieter (Carriers)
- Wireless Telekommunikationsanbieter (außer Satellit)
- Data-Processing Hosting und verwandte Services
- E-Commerce und Retail
- Versicherungen und Finanzbroker
Schlimmer noch, die zunehmende Verbreitung von bekannten offenen DNS-Rekursivdienste als Quellen für diese Angriffe ist besorgniserregend und deutet darauf hin, dass Angreifer absichtlich versuchen den Datenverkehr an den Netzwerkbetreibern zu umgehen, die für die Sicherung der DNS-Ressourcen verantwortlich sind. Dies verdeutlicht, dass die Angreifer nicht nur hoch qualifiziert und raffiniert agieren, sondern dass DNS-Water-Torture-Angriffe, die über diese Dienste abgewickelt werden, für Verteidiger schwieriger abzuwehren sind, da sich der Angriffsverkehr mit echten DNS-Anfragen aus legitimen Quellen vermischt.
Es ist daher zwingend erforderlich, dass Unternehmen sicherstellen, dass ihre autoritative und rekursive DNS-Infrastruktur in die DDoS-Abwehrpläne einbezogen und regelmäßig überprüft wird.
Über den Autor: Karl Heuser ist beim Service- und Security Assurance Anbieter NETSCOUT als Business Manager Security für Enterprise Kunden in der Region Deutschland, Österreich und Schweiz für IT-Security Projekte-, und Themen verantwortlich. Er ist ein erfahrener IT-Experte und blickt auf eine über 30-jährige nachgewiesener Erfahrung und Expertise in den Bereichen IT-Security, IT-Infrastruktur und Cloud Services zurück.
(ID:49834745)
:quality(80)/p7i.vogel.de/wcms/d7/51/d751ff793e25553d6f2ea785aeaabd6f/0118057046.jpeg "Die Zahl der täglichen Angriffe durch Hacktivisten hat sich im zweiten Halbjahr 2023 im Vergleich zur ersten Jahreshälfte mehr als verzehnfacht. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5e/8d/5e8d709e325e5df0ab99589ef39fb0cf/0118145296.jpeg "Muddling Meerkat ist ein neuartiger DNS-Bedrohungsakteur, der für China aktiv zu sein scheint. (Bild: Infoblox)")