Das sind die Schwachstellen vieler aktueller Security-Lösungen:
1. Computerangriffe werden immer komplexer
Hacker werden immer kreativer und entwickeln ständig neue und komplexe Techniken, um in die DNS-Infrastruktur zu gelangen. Die angewandten Lösungen sind nicht in der Lage, sich den Bedrohungen in der gleichen Geschwindigkeit anzupassen wie sie passieren. Einige Lösungen haben bereits über 100 Regeln aufgestellt, um Bedrohungen abzuwenden. Diese Regeln zu programmieren ist für die Verantwortlichen nicht nur eine mühselige Aufgabe, es bietet vor allem keinen hundertprozentigen Schutz.
2. Schlechte Filter führen zum Ausschluss von legitimen Anfragen
Wird eine DNS-Attacke entdeckt, kann die Lösung die IP-Adresse, die für den Angriff verantwortlich ist, blockieren. Hacker sind allerdings in der Lage, Attacken von verschiedenen mit Malware infizierten Computern zu generieren. Wenn die Sicherheitslösung also eine IP-Adresse blockiert, könnte es passieren, dass dies der Computer eines Kunden, Partners oder im schlimmsten Fall der eigene ist.
3. Hilflosigkeit gegen volumetrische Attacken
Sind Attacken volumetrisch (wie rund 63 Prozent der DDoS-Attacken) können aktuelle Lösungen schnell übersättigt sein. Um eine Attacke zu entdecken, muss der Filtermechanismus eine tiefgreifende Analyse der Inhalte der DNS-Nachrichten durchführen. Diese Analyse beinhaltet große Datenmengen, was wiederrum zu signifikanter Mehrarbeit für die Analysetools führt. Während einer volumetrischen Attacke explodiert die Menge an Datenzugriffen, die Tools werden lahmgelegt und die Schutzlösung ist nicht mehr vollständig effektiv.
4. Langsame Attacken
Ein Teil der Attacken auf DNS-Server sind sogenannte "langsame Attacken" oder sie werden gar nicht entdeckt (auch als Phantom-Attacken bekannt). Diese Angriffsart basiert nicht auf einer großen Menge an Anfragen sondern auf geringen Volumen mit Frequenzen, die für Filter unsichtbar sind.
5. Anfälligkeit für Cache-Vergiftung
Entdeckt eine Filterlösung ein auffälliges Verhalten, wird erwartet, dass sie die beeinflussten Pakete abweist und nur legitime Anfragen durchlässt. Das Problem ist, dass die abgewiesenen Pakete Anfragen unbeantwortet lassen. Hierdurch können Hacker den Cache infiltrieren, indem sie anstelle des Servers antworten. Hacker können den Filtermechanismus durch gefälschte positive Anfragen aushebeln und bekommen so Zugriff zum Server.
1. Computerangriffe werden immer komplexer
Hacker werden immer kreativer und entwickeln ständig neue und komplexe Techniken, um in die DNS-Infrastruktur zu gelangen. Die angewandten Lösungen sind nicht in der Lage, sich den Bedrohungen in der gleichen Geschwindigkeit anzupassen wie sie passieren. Einige Lösungen haben bereits über 100 Regeln aufgestellt, um Bedrohungen abzuwenden. Diese Regeln zu programmieren ist für die Verantwortlichen nicht nur eine mühselige Aufgabe, es bietet vor allem keinen hundertprozentigen Schutz.
2. Schlechte Filter führen zum Ausschluss von legitimen Anfragen
Wird eine DNS-Attacke entdeckt, kann die Lösung die IP-Adresse, die für den Angriff verantwortlich ist, blockieren. Hacker sind allerdings in der Lage, Attacken von verschiedenen mit Malware infizierten Computern zu generieren. Wenn die Sicherheitslösung also eine IP-Adresse blockiert, könnte es passieren, dass dies der Computer eines Kunden, Partners oder im schlimmsten Fall der eigene ist.
3. Hilflosigkeit gegen volumetrische Attacken
Sind Attacken volumetrisch (wie rund 63 Prozent der DDoS-Attacken) können aktuelle Lösungen schnell übersättigt sein. Um eine Attacke zu entdecken, muss der Filtermechanismus eine tiefgreifende Analyse der Inhalte der DNS-Nachrichten durchführen. Diese Analyse beinhaltet große Datenmengen, was wiederrum zu signifikanter Mehrarbeit für die Analysetools führt. Während einer volumetrischen Attacke explodiert die Menge an Datenzugriffen, die Tools werden lahmgelegt und die Schutzlösung ist nicht mehr vollständig effektiv.
4. Langsame Attacken
Ein Teil der Attacken auf DNS-Server sind sogenannte "langsame Attacken" oder sie werden gar nicht entdeckt (auch als Phantom-Attacken bekannt). Diese Angriffsart basiert nicht auf einer großen Menge an Anfragen sondern auf geringen Volumen mit Frequenzen, die für Filter unsichtbar sind.
5. Anfälligkeit für Cache-Vergiftung
Entdeckt eine Filterlösung ein auffälliges Verhalten, wird erwartet, dass sie die beeinflussten Pakete abweist und nur legitime Anfragen durchlässt. Das Problem ist, dass die abgewiesenen Pakete Anfragen unbeantwortet lassen. Hierdurch können Hacker den Cache infiltrieren, indem sie anstelle des Servers antworten. Hacker können den Filtermechanismus durch gefälschte positive Anfragen aushebeln und bekommen so Zugriff zum Server.
