Neustar, Inc. (NYSE: NSR), ein bewährter, neutraler Anbieter von Echtzeit-Informationsdiensten veröffentlichte heute: „DNSSEC: Wie versierte DDoS-Angreifer unsere Abwehrmechanismen gegen uns verwenden“, ein Untersuchungsbericht, der darlegt, wie Domain Name System Security Extensions (DNSSEC) als ein Verstärker bei Distributed Denial of Service (DDoS-) Angriffen untergraben werden können. Neustar legte fest, dass im Durchschnitt eine DNSSEC-Spiegelung eine 80-Byte-Abfrage in eine 2,313-Byte-Antwort umwandeln kann, das entspricht eine Verstärkung um das knapp 30-Fache, was leicht zu einer Netzwerk-Service-Unterbrechung während eines DDoS-Angriffs führen kann, was wiederum Einkommen und Datenschutzverletzungen nach sich zieht.

„DNSSEC entwickelte sich zu einem Werkzeug zur Bekämpfung von DNS-Hijacking, doch haben Hacker unglücklicherweise erkannt, dass die Komplexität dieser Signaturen sich ideal zur Bombardierung von Netzwerken bei einem DDoS-Angriff eignen,“ so Joe Loveless, Director Product Marketing, Security Services, Neustar. „Wird DNSSEC nicht ordnungsgemäß gesichert, kann es ausgenutzt, in eine Waffe umgewandelte und schließlich für massive DDoS-Angriffe genutzt werden.“

DNSSEC wurde entwickelt, um für das DNS Integrität und Authentifizierung bereitzustellen, was durch komplexe digitale Signaturen und Schlüsselaustausch erreicht wird. Aus diesem Grund werden bei der Übermittlung eines DNS-Datensatzes an DNSSEC außerordentlich viele zusätzliche Informationen generiert. Hinzu kommt, dass bei der Erteilung des DNS-Befehls „ANY“, die verstärkte Antwort von DNSSEC exponentiell größer ist als bei einer normalen DNS-Antwort.

Zentrale Erkenntnisse und Empfehlungen zu „DNSSEC: Wie versierte DDoS-Angreifer unsere Abwehrmechanismen gegen uns verwenden“ sind u.a.:

  • DNSSEC-Schwachstellen vervielfachen sich rasch – Neustar untersuchte eine Branche mit 1.349 Domains und kam zu der Erkenntnis, dass 1.084 von ihnen (80 Prozent) arglistig als ein Verstärker von DDoS-Angriffen umfunktioniert werden könnten (sie wurden mit DNSSEC signiert und antworten als “ANY”-Befehl).
  • Der durchschnittliche DNSSEC Verstärkungsfaktor liegt bei 28,9 – Neustar • • Der durchschnittliche DNSSEC Verstärkungsfaktor liegt bei 28,9 – Neustar testete DNSSEC-Schwachstellen mit einer 80-Byte-Abfrage, die eine durchschnittliche Antwort von 2.313 Bytes lieferten. Die größte Verstärkungsantwort umfasste 17.377 Bytes, 217-mal mehr als die 80-Byte-Abfrage.
  • Die Anatomie eines DNSSEC-Spiegelungsangriffs – Neustar stellt die Befehls- und Kontrollserver dar, die für den Betrieb der Botnetze und Skripts erforderlich sind, welche DNS-Name-Server ins Visier nehmen, um DNSSEC-Verstärkungsangriffe auszuführen.
  • Best Practices für die Minimierung – Unternehmen und Organisationen, die auf DNSSEC vertrauen, empfiehlt Neustar, sicherzustellen, dass ihr DNS-Provider nicht auf „ANY“-Abfragen reagiert oder einen Mechanismus zur Identifizierung und Vorbeugung gegen Missbrauch eingerichtet hat..

„Neustar konzentriert sich auch die Nutzung von verbundenen Wissenschaften, um Menschen, Plätze und Dinge miteinander zu verbinden. Und das ist auch der Grund, warum Netzwerksicherheit so eminent wichtig ist, “ so Loveless. „Da immer mehr Unternehmen und Organisationen DNSSEC verwenden, ist es von elementarer Bedeutung zu verstehen, wie DNSSEC abgesichert werden kann. Der richtige Zeitpunkt dafür ist gekommen.“

Für weitere Informationen über „DNSSEC: Wie versierte DDoS-Angreifer unsere Abwehrmechanismen gegen uns verwenden“, besuchen Sie bitte unsere Website unter https://hello.neustar.biz/201608---Security-Services---Trade-Show---Black-Hat_DNSSEC-LP.html.

Über Neustar

Jeden Tag werden weltweit etwa 2,5 Billiarden Bits Daten generiert. Neustar (NYSE: NSR) isoliert bestimmte Elemente und analysiert, vereinfacht und editiert diese, und präzise und wertvolle Entscheidungen zur Verbesserung der Ergebnisse treffen zu können. Als eines der wenigen Unternehmen, die in der Lage sind, sicher zu wissen, wer am Ende jeder Interaktion steht, vertrauen wir einem der weltweit größten Unternehmen, um täglich etwa 20 Milliarden kritische Entscheidungen zu treffen. Wir unterstützen Vermarkter dabei, rechtzeitige und relevante Mitteilungen an die richtigen Empfänger zu senden. Und weil wir einen Kunden zuverlässig darüber informieren können, wer anruft oder sich mit ihm verbindet, ermöglichen wir kritische Antworten in Echtzeit. Dieselben umfassenden Informationen, die unsere Kunden in die Lage versetzen, Bestellungen zu steuern und zu verwalten, stoppt zudem Angreifer. Wir wissen, wenn jemand nicht derjenige ist, der er vorgibt zu sein. Dies trägt dazu bei, Betrug zu verhindern und Angriffe auf Dienste zu stoppen, bevor es ein Problem wird. Da wir darüber hinaus ein erfahrener Verwalter einiger der weltweit komplexesten Datenbanken sind, helfen wir Kunden, ihre Online-Identität und -Anmeldung zu kontrollieren, ihre Domain-Namen zu schützen und das Routing des Datenverkehrs an die korrekte Netzwerkadresse zu führen. Indem wir die wichtigsten Informationen mit den Menschen verknüpfen, die davon abhängen, geben wir mehr als 12.000 Kunden weltweit Entscheidungen an die Hand, und nicht nur Daten. Weitere Informationen sind erhältlich unter http://www.neustar.biz

Die Ausgangssprache, in der der Originaltext veröffentlicht wird, ist die offizielle und autorisierte Version. Übersetzungen werden zur besseren Verständigung mitgeliefert. Nur die Sprachversion, die im Original veröffentlicht wurde, ist rechtsgültig. Gleichen Sie deshalb Übersetzungen mit der originalen Sprachversion der Veröffentlichung ab.