Besuchen Sie uns auf der it-sa 2024!

DNS

Was ist DNS?

Die Abkürzung DNS steht für Domain Name System. Die Technologie setzt von Menschen lesbare Domain-Namen in IP-Adressen um, welche wiederum von Clients und DNS-Servern verarbeitet werden können. Damit dient das DNS als „Telefonbuch des Web“, denn es ist ein Verzeichnis, welches es Nutzern ermöglicht, per Browser über eine bestimmte URL auf die entsprechende IP-Adresse des dazugehörigen Webservers zuzugreifen.

Das grundlegende Konzept des DNS stammt noch aus den Anfangstagen des Internets, als es weder Cyberkriminalität noch Tracking oder digitale Zensur gab. Daher wurde damals auf Verschlüsselungsmethoden bei der Übertragung von DNS-Anfragen verzichtet. Standardmäßig erfolgt die Übertragung ungesichert im Klartext. Diese Schwachstelle nutzen heute Cyberkriminelle für DNS-Attacken aus. Abhilfe schaffen speziell gehärtete DNS Server, DNS-Erweiterung und verschlüsselte DNS-Protokolle.

Jetzt mehr über DNS Dienste von Myra erfahren

DNS: eine Definition

Das DNS ist ein weltweit verteilter hierarchischer Verzeichnisdienst, welcher der Zuordnung von Domains zu den dazugehörigen IP-Adressen im Internet dient. Über DNS Dienste können damit Domainnamen wie myrasecurity.com einer konkreten IP-Adresse des Webservers zugewiesen werden. Vor der Einführung des DNS mussten Domaininformationen in der hosts-Datei auf den einzelnen Clients hinterlegt und verwaltet werden. Zugunsten einer besseren Skalierbarkeit entwarf Paul Mockapetris 1983 das DNS mit den Standards RFC 882 und RFC 883.

Die Delegierung der Anfragen über das UDP-Protokoll (User Datagram Protocol) erfolgt im DNS unverschlüsselt im Klartext, eine Verifizierung der DNS-Einträge findet nicht statt. Das macht die Namenszuordnung grundsätzlich anfällig für externe Angriffe, Manipulation, Überwachung oder Zensur. Betroffen von diesen Risiken sind sowohl die auf das DNS zugreifenden Clients und DNS-Infrastrukturen als auch Organisationen, die Ziel einer DNS-basierten Überlastungsattacke werden.

02 – Welche Arten von DNS-Servern gibt es?

Für das Domain Name System kommen verschiedene Server an unterschiedlichen Punkten zum Einsatz. Sie sind hierarchisch aufeinander abgestimmt und regeln die Delegation von Anfragen und Antworten.

DNS Root Server

Die Root Server des DNS sind für die Top Level Domains (TLD) zuständig. Als höchste Instanz in der Hierarchie verweisen Sie Anfragen auf den korrekten TLD Nameserver. Die ICANN (Internet Corporation for Assigned Names and Numbers) koordiniert die Arbeit der Root-Nameserver. Rund um den Globus gibt es 13 solcher Root Server, die sich aus mehr als 1.600 Server-Instanzen im Anycast-Betrieb zusammensetzen.

Autoritativer DNS Server

Autoritative DNS Server greifen in ihrer Datenbank auf den Domain Name Space einer bestimmten Zone zu. Jede Zone hat mindestens einen autoritativen Nameserver, der die Zonendaten verwaltet – die von ihm ausgehenden Informationen gelten als gesichert.

Nichtautoritativer DNS Server

Nichtautoritative DNS Server geben DNS-Informationen aus externen Quellen weiter und sind nicht für eine bestimmte Zone zuständig. Stattdessen holen sie die erforderlichen Domaininformationen bei einer Anfrage von einem autoritativen DNS Server ein und speichern diese im Cache.

DNS Caching Server

DNS Caching Server speichern die Informationen von anderen Nameservern für eine bestimmte Zeitspanne zwischen, um eingehende Anfragen schneller zu beantworten. Die Dauer dieser Speicherung bestimmt der autoritative Nameserver.

DNS Forwarding Server

DNS Forwarding Server kommen in der Regel in größeren Firmennetzwerken und bei Internet Service Providern (ISPs) zum Einsatz. Sie nehmen DNS-Anfragen von Clients entgegen und leiten diese gezielt an andere DNS-Server weiter, um die Netzwerklast besser zu verteilen und die Beantwortung zu beschleunigen.

Resolver

Meist sind Resolver in einem lokalen Netzwerk beziehungsweise auf dem Client-PC/Router selbst für die Namensauflösung zuständig. Von Resolvern gehen die Anfragen an das DNS zur Auflösung von Domainnamen zu IP-Adressen aus.

Schaubild beschreibt die einzelnen Abläufe einer DNS-Abfrage in 10 Schritten.

Wie funktioniert eine DNS-Abfrage?

Eine DNS-Abfrage ist immer dann erforderlich, wenn der Computer die für einen Webseitenaufruf benötigten Adressinformationen nicht im Cache vorliegen hat und der vorkonfigurierte DNS Dienst des Internetdienstanbieters die Namensauflösung ebenfalls nicht bewerkstelligen kann. Im Detail läuft eine DNS-Anfrage nach folgendem Muster ab:

Eingabe der URL einer Website im Browser (z. B. www.myrasecurity.com). Das Betriebssystem überprüft den DNS-Cache anhand der Anfrage. Falls die Adresse nicht im Cache liegt, wird die Anfrage an den DNS-Resolver geleitet.
Der DNS-Resolver kontaktiert darauf den DNS-Root-Server.
Der Root-Server gibt dem Resolver an, unter welcher Top-Level-Domain (TLD) die Information für die Website zu finden ist. Im Fall von www.myrasecurity.com handelt es sich um die TLD .com
Der Resolver schickt eine Anfrage an den entsprechenden TLD-Server.
Der TLD-Server gibt die IP-Adresse des entsprechenden autoritativen DNS-Servers der gesuchten Domain an.
Der DNS-Resolver erfragt beim autoritativen DNS-Server die IP-Adresse des Ursprungsservers, auf dem die Website gehostet ist.
Der Nameserver gibt die Adresse des Ursprungsservers an den DNS-Resolver weiter.
Der Resolver leitet die IP-Adresse an den Browser des Clients weiter.
Der Browser ruft nun die Website auf, indem er eine HTTP-Anfrage an die IP-Adresse schickt.
Der so angesprochene Server schickt die Dateien der Website an den Browser, sodass der Content angezeigt wird.

Kritik an DNS

Das Konzept des DNS als Telefonbuch des Web stammt noch aus den Anfangstagen des Internets, als es weder Cyberkriminalität noch Tracking oder digitale Zensur gab. Daher wurde damals auf Verschlüsselungsmethoden bei der Übertragung von DNS-Anfragen verzichtet. Standardmäßig erfolgt die Übertragung ungesichert im Klartext. Diese Schwachstelle macht die Technologie zu einem mächtigen Werkzeug für Cyberkriminalität, Tracking oder Zensur.

DNS-Attacken

Da im DNS standardmäßig keine Validierung der Kommunikation stattfindet, ist die Technologie außerst anfällig für schädliche Manipultationen. Mittels DNS Spoofing können Cybekriminelle den Datenverkehr gezielt auf schädliche Websites umleiten, um Malware zu verbreiten oder Nutzerdaten abzugreifen.

Spionage

Das DNS arbeitet weitgehend unverschlüsselt. Deshalb besteht das Risiko, dass die Verbindung zwischen Client und DNS-Server ausgespäht wird. DNS-Erweiterungen wie DNSSEC schaffen hier Abhilfe, indem sie zur Validierung von DNS-Anfragen eingesetzt werden.

Zensur

Sowohl Vereine als auch kommerzielle Anbieter kritisieren, dass über das DNS Domains zensiert werden können. Darüber hinaus besteht die Gefahr, dass die Technologie für Zensur per Geoblocking missbraucht wird. Autoritäre Regime nutzen etwa DNS-Sperren für politische Zensur.

Überzeugen Sie sich von unseren maßgestalteten Security-as-a-Service-Lösungen für IT-Infrastrukturen und Webapplikationen.

Jetzt kostenlose Demo anfordern

05 – DNS-Erweiterungen und Verschlüsselungstechnologien

Um funktionelle Schwächen und Sicherheitslücken rund um die Namensauflösung zu beseitigen, wurden im Laufe der Jahre mehrere Standards, Erweiterungen und verschlüsselte Protokolle entwickelt. Je nach DNS Provider oder DNS Service werden unterschiedliche Standards und Erweiterungen für die Namensauflösung unterstützt.

Dyn DNS

Dyn DNS steht für “dynamisches Domain Name System”. Solche Dienste ermöglichen es dem Nutzer, dynamischen IP-Adressen einen festen Hostnamen zuzuweisen. Zu den Anwendungsgebieten gehört das Betreiben eines Webservers trotz dynamischer IP-Adresse.

Extended DNS

Extended DNS (EDNS) ermöglicht den Transport von DNS-Daten in UDP-Paketen. Eine solche Erweiterung des DNS-Paket-Formats erwies sich in den 1990er Jahren als notwendig, denn die Einschränkungen in den bisherigen DNS-Paketen wurden den modernen Anforderungen nicht mehr gerecht.

DNSSEC

DNSSEC beschreibt eine Reihe von Sicherheitserweiterungen für das DNS, welche die Authentizität und Integrität der über das System übertragenen Daten gewährleisten. Indem die Datenübertragungen im DNS verschlüsselt werden, wird die Privatsphäre und Datensicherheit der Nutzer sichergestellt.

DNS over HTTPS

DNS over HTTPS (DoH) ist neben DoT aktuell eine der gebräuchlichsten Lösungen zur DNS-Verschlüsselung. Bei DoH werden DNS-Anfragen und Antworten im abgesicherten Webseiten-Protokoll HTTPS über Port 443 versendet. Hierdurch sind die Übertragungen nicht mehr von herkömmlichem Traffic der Websites zu unterscheiden, was eine gezielte Blockade verhindert. Im Vergleich zur herkömmlichen DNS-Namensauflösung ist DoH weniger performant. DoH wurde von der IETF im Jahr 2018 als RFC 8484 standardisiert.

DNS over TLS

DoT ist ein von der Internet Engineering Task Force (IETF) vorgeschlagener Standard (RFC 7858) zur Absicherung von DNS-Verbindungen. Im Gegensatz zu herkömmlichen DNS-Anfragen wird bei DoT eine gesicherte TCP-Verbindung (Transmission Control Protocol) zwischen Client und DNS-Server aufgebaut, die mittels TLS authentifiziert und verschlüsselt ist. Technisch erfolgt die Namensauflösung mittels DoT über den TCP-Port 853.

DNSCrypt

DNSCrypt ist ein Protokoll, das zur Verschlüsselung, Authentifizierung und optional Anonymisierung der Kommunikation zwischen DNS-Client und DNS-Resolver zum Einsatz kommt. Dabei wird der Datenverkehr zum DNS-Resolver über eine asymmetrische Verschlüsselung gesichert. Standardmäßig verwendet DNSCrypt den Port 443. Zur Anonymisierung der DNS-Anfragen kann DNSCrypt mit der Anonymized-DNS-Technologie erweitert werden, die auch zu den anderen verschlüsselten Protokollen kompatibel ist.

DNS over QUIC

DNS over QUIC (DoQ) ist ein neues Protokoll, das von der IETF standardisiert wird. DoQ will die Vorzüge einer verschlüsselten Namensauflösung mit kurzen Latenzzeiten kombinieren. Für einen performante Datentransfer verwendet DoQ das junge QUIC-Protokoll, das auch in HTTP/3 zum Einsatz kommt und zur Absicherung auf TLS 1.3 setzt.

Welche Gefahren birgt DNS?

Aufgrund der bestehenden Schwachstellen können Cyberkriminelle das Domain Name System als mächtige Waffe missbrauchen. So können etwa Änderungen an der DNS-Delegationsstruktur dazu genutzt werden, um Traffic auf schädliche Webseiten umzuleiten. Daneben besteht ebenso die Möglichkeit, aufgebaute Verbindungen auszuspionieren oder DNS-Server als DDoS-Angriffswerkzeug einzusetzen. Zu den geläufigsten DNS-Attacken zählen:

DNS-Attacken im Überblick
DDoS-Angriff
Auch Nameserver selbst sind ein bevorzugtes Ziel von Überlastungsangriffen. Ein prominentes Beispiel hierfür ist etwa die Attacke auf die DNS-Infrastruktur des Unternehmens Dyn im Oktober 2016. Mehrere weltweit bekannte Websites wie Twitter und Paypal waren damals mehrere Stunden nicht mehr erreichbar.
DNS-Attacken im Überblick
DNS Spoofing
Hierbei handelt es sich um einen Sammelbegriff für schädliche DNS-Manipulationen, die auf eine Umleitung von Internetnutzer:innen auf eine bestimmte Ressource abzielen. Zu DNS Spoofing gehören etwa Attacken mittels DNS Cache Poisoning, bei dem manipulierte Einträge in den DNS Cache von Nameservern geschmuggelt werden, oder DNS Hijacking, bei dem Cyberkriminelle darauf abzielen, mittels Schadsoftware oder durch die Ausnutzung von Sicherheitslücken die Kontrolle über DNS-Einstellungen auf Clients, Servern und DNS-Infrastruktur zu übernehmen.
DNS-Attacken im Überblick
DNS Cache Poisoning
Beim Cache Poisoning missbrauchen Cyberkriminelle die Funktionsweise des Domain Name System, um Internetnutzer:innen unbemerkt auf gefälschte Webseiten zu locken und dort deren Zugangsdaten und andere sensible Informationen zu stehlen. Gelingt es Angreifern, einen Nameserver über Sicherheitslücken zu korrumpieren und gefälschte Einträge in die Delegationsstruktur einzuschleusen, gelangen die manipulierten Einträge auch in den Cache anfragender Server, Router und Endgeräte, die die betroffene Domain auf dem Nameserver anfragen. Der DNS Cache ist nun „vergiftet“ und leitet User auf die von den Angreifern festgelegte Webseite um.
DNS-Attacken im Überblick
DNS Hijacking
DNS Hijacking beschreibt eine Angriffstechnik, bei der Angreifer DNS-Einträge manipulieren, um Anfragen auf betrügerische Websites umzuleiten. Dies kann durch die Kompromittierung von Client-PCs, Routern, DNS-Servern oder durch das Abfangen von DNS-Anfragen erfolgen. Abhängig vom jeweils betroffenen System unterscheidet die IT-Sicherheit hier zwischen „lokalem Hijacking“, „Router Hijacking“, „Rogue-DNS-Server-Angriffen“ und „Man-in-the-Middle-Angriffen“.
DNS-Attacken im Überblick
DNS Reflection & Amplification
Cyberkriminelle können DNS-Server mithilfe von IP-Spoofing als wirksames Werkzeug für Distributed-Denial-of-Service-Attacken (DDoS) missbrauchen. Dabei nutzen sie Schwachstellen im DNS aus, um die Schlagkraft der Attacke um ein Vielfaches zu erhöhen.
DNS-Attacken im Überblick
DDoS-Angriff
Auch Nameserver selbst sind ein bevorzugtes Ziel von Überlastungsangriffen. Ein prominentes Beispiel hierfür ist etwa die Attacke auf die DNS-Infrastruktur des Unternehmens Dyn im Oktober 2016. Mehrere weltweit bekannte Websites wie Twitter und Paypal waren damals mehrere Stunden nicht mehr erreichbar.
DNS-Attacken im Überblick
DNS Spoofing
Hierbei handelt es sich um einen Sammelbegriff für schädliche DNS-Manipulationen, die auf eine Umleitung von Internetnutzer:innen auf eine bestimmte Ressource abzielen. Zu DNS Spoofing gehören etwa Attacken mittels DNS Cache Poisoning, bei dem manipulierte Einträge in den DNS Cache von Nameservern geschmuggelt werden, oder DNS Hijacking, bei dem Cyberkriminelle darauf abzielen, mittels Schadsoftware oder durch die Ausnutzung von Sicherheitslücken die Kontrolle über DNS-Einstellungen auf Clients, Servern und DNS-Infrastruktur zu übernehmen.

Myra Secure DNS

Für die Ausfallsicherheit von kritischen Webapplikationen ist die Absicherung der Namensauflösung entscheidend. Das gehärtete und georedundante Myra Secure DNS setzt auf führende Technologien, um Ihre Domains vor Cyberattacken zu schützen und maximale Performance sicherzustellen. Ganze DNS-Zonen lassen sich in der gesicherten Myra-Infrastruktur komfortabel verwalten.

Mehr erfahren

DNS: Das müssen Sie wissen

Das Domain Name System ist die Grundlage dafür, dass Nutzer im Internet Websites über ihre Domain aufrufen können. Die Technologie ermittelt, welche IP-Adresse für die jeweilige Domain anzusteuern ist. Als essenzieller Dienst im Internet stellt das DNS ein attraktives Ziel für Cyberkriminelle dar – zumal die Technologie selbst über keine weitreichenden Sicherheitsfunktionalitäten verfügt. In der Regel erfolgt die Kommunikation zwischen Client und DNS Server unverschlüsselt im Klartext. Hier bietet sich viel Angriffsfläche für Manipulation, Sabotage und Spionage. Umso wichtiger ist es für Organisationen mit kritischen Onlinegeschäftsprozessen auf eine abgesicherte DNS-Infrastruktur zu setzen, die vor schädlichen Zugriffen von außen abgesichert ist.

Myra Secure DNS sichert die Namensauflösung Ihrer Unternehmensdomain vor Angriffen und sichert die Erreichbarkeit Ihrer Systeme und Dienste. Secure DNS setzt auf performantes Anycast-Routing und wird auf speziell gehärteten Serverinstanzen betrieben und durch dieselbe BSI-zertifizierte Schutztechnologie abgesichert, die unter anderem auch Bundesbehörden zur Verteidigung ihrer Domains vor Cyberangriffen einsetzen.

Als Security-as-a-Service-Lösung ist Secure DNS von Myra in kurzer Zeit implementiert und einsatzbereit. Zusätzliche Software oder Hardware sind für den Betrieb nicht erforderlich. Myra ist langjähriger Service-Partner diverser Bundes-, Landes- und Kommunalbehörden, namhafter Banken und Versicherungen sowie von Betreibern kritischer Infrastrukturen (KRITIS).