Plötzliches Einsinken des Bodens, auch als Dolinen, Sinkhöhlen oder Karsttrichter bekannt, nennt man im Englischen Sinkhole. Doch was hat dieses Phänomen mit dem DNS-Sinkhole zu tun? Wozu werden Sinkhole-Server eingesetzt und wie funktionieren Sie?
Auf diese und weitere Fragen rund um das Phänomen der DNS-Sinkholes geben wir hier Antworten.
Unser Beitrag über DNS-Sinkholes im Überblick:
Was ist ein DNS-Sinkhole?
Computer kommunizieren im Internet über numerische Identifikatoren, die als IP-Adressen bezeichnet werden. DNS-Server übersetzen Namenseingaben in IP-Adressen und steuern, welchen Server ein Nutzer erreicht, wenn er einen Domänen-Namen in seinen Webbrowser eingibt.
Als DNS (Domain Name Service) wird ein Protokoll bezeichnet, das für den Menschen lesbare Namen wie Webadressen auf IP-Adressen abbildet. Man kann sich den DNS wie eine Art Telefonbuch vorstellen, das dazu dient, Domainnamen mit nummerische IP-Adressen abzugleichen.
Als DNS-Sinkholing bezeichnet man ein Schutzmechanismus, der DNS-Anfragen abfängt, die versuchen, eine Verbindung zu bekannten verdächtigen oder schädlichen Domänen herzustellen. DNS-Sinkholes geben dabei falsche IP-Adressen zurück, die die entsprechende Anfrage auf einen Sinkhole-Server weiterleiten. Endgeräte, die das DNS-Sinkholing nutzen, greifen also nicht auf die eigentliche gefährliche Website zu. Vielmehr versinken die Anfragen in einer digitalen Sinkhöhle, woher die Sinkhole auch ihren Namen hat.
Mit dem Sinkholing werden schädliche Domänen auf Sinkhole-Server weitergeleitet. Bild: Pexels/@artunchained
Funktion von DNS-Sinkholes
Sinkhole-Betreiber protokollieren alle Zugriffe auf bekannte schädliche Domainnamen, die auf Sinkhole-Server weitergeleitet werden. Normalerweise steuern nur infizierte Systeme solche Domainnamen an.
DNS-Sinkholes können auf diese Weise dazu eingesetzt werden, kompromittierte Hosts zu identifizieren, Bots und anderen gefährlichen Verkehr zu erkennen und zu blockieren. Bei Hosts handelt es sich um ein in ein Rechnernetz eingebundenen Computer mit zugehörigem Betriebssystem, der Clients bedient oder Server beherbergt. Mit DNS-Sinkholes können DDoS-Angriffe unterbunden werden. DDoS-Angriffe werden von Systemen ausgeführt, auf denen sich Bots eingenistet haben.
Wird ersichtlich, dass beispielsweise ein Computer versucht, eine Verbindung zu einem vermeintlichen Bot-Server herzustellen, dann ist die Wahrscheinlichkeit groß, dass der Computer sich mit einem Bot infiziert hat. Durch das Sinkholing können auf diese Weise sogar größere Botnetze identifiziert und bereinigt werden. Quell-IP-Adressen, von denen aus Zugriffe ausgeführt werden, und Zeitstempel, werden festgehalten.
Einsatz von DNS-Sinkholes
Sinkholes können von sogenannten Sinkhole-Betreibern auf verschiedenen Ebenen etabliert werden. Sowohl Internetdienstanbieter als auch Domänenregistrierungsstellen verwenden bekanntermaßen Sinkholes, um ihre Kunden zu schützen. Sie leiten dabei Anfragen an bösartige oder unerwünschte Domänennamen auf kontrollierte IP-Adressen von Sinkholes um. Durch Analysen von Schadprogrammen weist der CERT-Bund Zusammenhänge von Angriffen mit bestimmten Domains nach und kann diese als bösartig klassifizieren.
Systemadministratoren können auch interne DNS-Sinkhole-Server innerhalb der eigenen Infrastruktur einrichten. Es gibt unzählige quelloffene und kommerzielle Listen mit bekannten bösartigen Domänen, die Sinkhole-Administratoren für die Weiterleitung auf DNS-Sinkholes verwenden können. Der Sinkhole-Server kann auch zum Sammeln von Ereignisprotokollen verwendet werden. In solchen Fällen muss der Sinkhole-Administrator jedoch sicherstellen, dass alle Protokollierungen innerhalb der rechtlichen Grenzen erfolgen und keine Verletzung der Privatsphäre vorliegt.
Nicht nur mit DNS-Sinkholes können Sie sich vor Bot-Angriffen und DDoS-Attacken schützen! Bild: Pexels/@mark-lin-379278
Schutz vor Botnetz-Angriffen
Durch das Sinkholding kann ein Systemadministrator erkennen, ob Endgeräte kompromittiert sind. Entsprechend konfigurierte Sinkhole-Server können Informationen darüber sammeln, wie Bots bzw. Schadprogramme funktionieren, die Quelle aufdecken und Wege zur erfolgreichen Abwehr aufzeigen. Mithilfe von Sinkholding bleiben Endgeräte und Daten also sicher, Administratoren können Informationen über infizierte Geräte sammeln und die Malware von infiltrierten Systemen entfernen.
Sie sollten unbedingt frühzeitig verhindern, dass Kriminelle Ihre Systeme mit Bots infiltrieren und zu einem Bestandteil des Botnetzes werden lassen. Sollten Sie kompetente und starke Unterstützung an Ihrer Seite benötigen, ist PC-SPEZIALIST in Ihrer Nähe der geeignete Ansprechpartner für Sie. Wir erkennen Probleme und Infiltrierungen frühzeitig.
Nutzen Sie den IT-Basisschutz, den Sie komplett individuell auf Ihre Wünsche und Anforderungen anpassen können. Sollten Sie Opfer eines Bot-Angriffs werden, erkennen wir von PC-SPEZIALIST das sofort und greifen direkt ein!
_______________________________________________
Andere Stimmen zum Thema: IT Security Wissen
Schreiben Sie einen Kommentar