Hoe zich te verdedigen tegen meedogenloze DNS-aanvallen

Het Domain Name System (DNS) is essentieel voor de beveiliging van de infrastructuur en stelt alle digitale diensten van een organisatie in staat. Echter, met een enkele gedistribueerde dienstweigering-aanval (DDoS) kunnen cybercriminelen DNS onbetrouwbaar, traag of zelfs ontoegankelijk maken, wat de digitale dienstervaring voor zowel klanten als werknemers negatief beïnvloedt. Deze aanvallen putten de tijd en energie uit van IT-personeel, beveiligingsbeheerders en leiders die proberen een uitzonderlijke klantbeleving te behouden.

Veelvoorkomende Gevallen die Tijd en Energie Kosten

Volgens het Akamai 2023 rapport over de Status van het Internet (SOTI), “Attack Superhighway: An In-Depth Analysis of Malicious DNS Traffic”, zijn DNS-aanvallen aangedreven door kwaadwillende entiteiten die bots en verfijnde, gedistribueerde botnets gebruiken, een toenemende zorg voor bijna alle industrieën.

Een van de belangrijkste problemen is de toename in grootte, frequentie en aanhoudende duur van kwaadaardige NXDOMAIN-aanvallen. Een 2023 rapport van het US Health Sector Cybersecurity Coordination Center (HC3) illustreert hoe cybercriminelen NXDOMAIN-aanvallen gebruiken om kritieke openbare infrastructuren zoals gezondheidszorg te richten.

Versterk je DNS tegen NXDOMAIN-aanvallen

Om NXDOMAIN-aanvallen te voorkomen, heeft je netwerk voldoende capaciteit nodig om grote verkeersvolumes te hanteren. Dit kan een uitdaging zijn, aangezien het vaak moeilijk is om de grootte en duur van een plotselinge toename te voorspellen. Een manier om de capaciteit voldoende te vergroten is het gebruik van elastische diensten met grote hoeveelheden schaalbare capaciteit, zoals een externe DNS-service.

Een andere sleutel tot succes is ervoor zorgen dat een DNS-systeem dat verkeersvloeden behandelt, beleid toepast zoals het prioriteren van aanvragen van toegestane bronnen. Dit is cruciaal, omdat legitieme aanvragen blokkeren met benaderingen zoals het beperken van DNS-antwoordpercentages diensten kan verstoren.

Stel DNS-diversiteit Op

Om DNS-diversiteit te bereiken, moeten netwerkimplementaties de IP Anycast-techniek van Akamai gebruiken in combinatie met wereldwijd diverse locaties van fysieke nameservers. Externe DNS-diensten hebben redundante netwerklinks nodig, colocatie met ISP’s over de hele wereld en robuuste interconnectieovereenkomsten. Andere manieren om DNS-diversiteit te creëren zijn onder meer:

  • Gebruik van grote, multihomed DNS-datacenters: Netwerkdiversiteit kan net zo belangrijk zijn als capaciteit. Grote DNS DDoS-aanvallen kunnen ISPs en andere netwerken upstream overweldigen voordat ze een datacenter bereiken, wat congestie en dienstonderbrekingen veroorzaakt, zelfs als het datacenter zelf onaangetast blijft.
  • Plaatsing van DNS-nameservers binnen ISP’s: In veel gevallen moeten DNS-nameserverclusters direct in de netwerken van individuele ISP’s staan. Deze nameservers zenden vaak hun IP Anycast-verkeer alleen binnen die netwerken uit en lossen DNS-aanvragen alleen op voor de eindgebruikers van die ISP’s.
  • Intelligent verspreiden van klanten over het wereldwijde platform: Wijs klanten toe aan diverse cloudomgevingen, sommige met ISP-specifieke serverlocaties en andere met een verscheidenheid aan verbonden machines. Deze architectuur zorgt ervoor dat de recursor-nameservers van een klant altijd verbinding maken met een snelle DNS-edge.

Gebruik Unieke Netwerkroutes

De hoeveelheid en het ontwerp van DNS-delegaties en de adressen van de nameservers kunnen ook van invloed zijn op de diversiteit. Bijvoorbeeld, met twee delegatieservers bieden ze twee netwerkroutes naar de geautoriseerde antwoorden, terwijl met zes delegatieservers bieden ze zes netwerkroutes. Elk nameserveradres heeft zijn eigen routeringspad op afzonderlijke geografische locaties. Voor IPv4 betekent dit dat elk nameserveradres zijn eigen IP-/24-adres moet hebben.

Implementatie van Diverse Stacks

Het diversifiëren van je DNS-delegatieimplementaties is een andere manier om DNS-aanvallen te helpen voorkomen. Bijvoorbeeld, een delegatieadres kan een DNS-proxyserver gebruiken om de oorspronkelijke nameservers te beschermen, een andere kan een secundaire autoritatieve DNS-dienst gebruiken om de zoninformatie te hosten die een oorspronkelijke nameserver overdraagt, en een derde kan netwerkbeleidstoepassing gebruiken om alleen schoon en geldig DNS-verkeer naar de klantbron door te sturen.

Verkrijg DNS-bescherming van Akamai

Als je je zorgen maakt over veerkracht tegen DNS-aanvallen en je mist sterke en betrouwbare verdedigingsstrategieën, probeer dan beschermingsdiensten in te zetten zoals een DNS-proxy om de oorspronkelijke nameservers te beschermen of een secundaire DNS-dienst. Door dit te doen, breid je je huidige DNS-werkstroom uit met een extra set autoritatieve servers die duurzame antwoorden bieden voor je zones terwijl ze je oorspronkelijke nameservers verbergen voor kwaadaardige aanvallers.

Voordelen van Akamai’s DNS-Verdedigingsbenadering

  • Verbetering van de klantenservice
  • Meer tijd om te focussen op voorheen verwaarloosde projecten door de voortdurende inspanningen voor DNS-bescherming
  • Betere moraal onder werknemers, omdat er minder herhaaldelijke tijdverslindende incidenten zijn die persoonlijke uitputting veroorzaken

Akamai Shield NS53, onderdeel van de Akamai Edge DNS-suite, helpt organisaties, hun klanten en werknemers te beschermen tegen vijandige soorten DNS-aanvallen. Deze DNS-infrastructuur en DDoS-beschermingsoplossing biedt uitgebreide beveiliging en ongeëvenaarde prestaties om het snel en eenvoudig te maken om DNS-kwetsbaarheden op te sporen en te verhelpen op ‘s werelds meest verspreide edge platform.

Het versterken van de DNS-infrastructuur is cruciaal om digitale diensten te beschermen en uitputting van IT-teams te voorkomen. Het implementeren van DNS-diversiteit en het gebruik van elastische externe diensten kan de benodigde capaciteit en veerkracht bieden om onophoudelijke aanvallen zoals NXDOMAIN het hoofd te bieden. Met de oplossingen van Akamai kunnen organisaties hun DNS-beveiligingspositie van begin tot eind verbeteren.

Over de auteurs: Steve Winterfeld is de Advisor CISO bij Akamai. Voordat hij bij Akamai kwam, was hij Director of Cybersecurity bij Nordstrom en CISO van Nordstrom Bank. Jim Gilbert is Director of Product Management bij Akamai, met meer dan tien jaar ervaring in DNS-diensten en technologie.

Bron en meer informatie: Akamai