(Only available in German) Die Domain Name Server gehören zu den zentralen Schaltstellen der digitalen Infrastruktur. Die hohe Anfragelast, die ein Nameserver-System verarbeiten muss, macht es aber auch fragil und anfällig für Angriffe. Doch es gibt Wege, die Domain Name Server zu schützen.
Im Oktober 2016 legte eine massive DDoS-Attacke bekannte Online-Dienste wie Twitter, Netflix, Spotify, Airbnb und das PlayStation Network (PSN) über mehrere Stunden lahm. Angeblich soll ein frustrierter Playstation-Gamer dahinter stecken, dessen eigentliches Ziel das PSN war. Die Zahl der Webseiten und Online-Shops, die einer DDoS-Attacke zum Opfer fallen, steigt kontinuierlich an. 2014 gab es in Deutschland 32.000 DDoS-Angriffe, im letzten Jahr erhöhte sich die Anzahl um 90%. Das liegt daran, dass es für Cyberkriminelle sehr einfach ist, die DNS-Struktur zu missbrauchen und eine DDoS-Attacke durchzuführen. Reguläre User erhalten im Fall einer erfolgreichen DDoS-Attacke eine Fehlermeldung und können auf die betroffene Webseite oder den Online-Shop nicht mehr zugreifen. 48% der DDoS-Crashdowns dauern bis zu 6 Stunden an.
Anycast zum Schutz vor DDOS
Den durchschnittlichen Schaden einer DDoS-Attacke beziffert Kaspersky bei mittelständischen Unternehmen auf 41.000 Euro. Bei großen Unternehmen sind es rund 360.000 Euro. Unkalkulierbar bleiben die Reputationsschäden, die durch das verlorene Vertrauen von Kunden und Partnern entstehen.
Eine Lösung, die Verfügbarkeit der Nameserver zu steigern, kann der Einsatz von Anycast-Technologie sein. Bei dieser Lösung sind weltweit verteilte Nameserver unter einer IP-Adresse erreichbar. Wird ein Domainname abgefragt, antwortet die nächstgelegene Instanz. Dadurch werden Antwortzeiten verkürzt und Lasten besser verteilt. Im Fall einer DDoS-Attacke ist nur der Anycast Standort betroffen, der dem Angreifer am nächsten ist. Alle anderen Server antworten weiterhin auf DNS Anfragen.
Zusätzlicher Schutz mit DNSSEC
Zusätzlicher Schutz kann mit dem Einsatz von DNSSEC erreicht werden. Die Sicherheitstechnik verhindert die Manipulationen von DNS-Auskünften. Ohne DNSSEC können kriminelle Webseitenaufrufe unbemerkt auf präparierte Server umlenken und so zum Beispiel Passwörter ausspionieren. Während in einigen Ländern DNSSEC inzwischen millionenfach eingesetzt wird, fristet die Technik in Deutschland teilweise noch ein Nischendasein.
Fachleuten plädieren, die Technik zur Regel zu machen. Das Bundesamt für Sicherheit (BSI) hat deshalb bereits im letzten Jahr eine Sicherheitsempfehlung zur Verbesserung der Akzeptanz und der Verbreitung von DNSSEC herausgegeben.
Unsere Empfehlung: Nutzen Sie NodeSecure, den AnyCast Nameserver Service von Schlund Technologies!