Blog

Im InterNetX Blog erfahren Sie Neuigkeiten, Hintergründe und Innovationen
aus den Bereichen Domains, Server und SSL.

Anycast: Maximale Verfügbarkeit von Nameservern

Die Domain Name Server gehören zu den zentralen Schaltstellen einer digitalen Infrastruktur. Die hohe Anfragelast, die ein Nameserver-System verarbeiten muss, macht es aber auch fragil und anfällig für Angriffe. Doch es gibt Wege, die Domain Name Server zu schützen.


Plötzlich war die Seite der New York Times offline: Im August 2013 hatten Hacker das Nameserver-System der meistgelesenen Online-Zeitung der Welt attackiert und die Times vom Netz genommen. Mehrere Stunden lang war die Seite nicht zu erreichen.

Auf den Schultern des Domain Name Server Systems ruht große Last. Fällt es aus oder reagiert nur langsam, fällt das unmittelbar auf die Erreichbarkeit der Seite zurück. Dabei steht das System ständig unter Druck. Die Nameserver der Registry Verisign verarbeiteten im ersten Quartal 2015 durchschnittlich 119 Milliarden Anfragen pro Tag. Im Vergleich zum Jahr 2014 ist die Tageslast um 40,2 Prozent gestiegen. In der Spitze lag der Wert 2015 sogar bei 165 Milliarden Anfragen.

Verzögerungen und Timeouts

Meist basiert ein Nameserver-System auf einer verhältnismäßig einfachen Struktur. In der Regel werden im Internet sogenannte Unicast-Technologien verwendet: Jeder DNS Server hat eine weltweit eindeutige IP-Adresse. Alle Anfragen an diese IP-Adresse kommen zu diesem einen Server, egal wo in der Welt sich der Abfragende befindet. Bei Anfragen aus großer Entfernung kann das zu Verzögerungen oder Timeouts führen. Ist der Server nicht erreichbar, sind alle Services unter dessen IP-Adresse außer Funktion.

Im schlimmsten Fall werden die DNS-Server von einem Angriff außer Funktion gesetzt. Besonders verbreitet sind sogenannte Distributed Denial of Service (DDoS) Attacken. Dabei wird das System mit einer übergroßen Zahl von Anfragen überlastet. In einer Umfrage des Sicherheitsspezialisten Kaspersky aus dem Jahr 2014 gaben 43 Prozent der mittelständischen deutschen Unternehmen an, Opfer eines DDoS-Angriffs gewesen zu sein. Großunternehmen hatten dagegen nur zu 25 Prozent damit zu kämpfen.

Laut der Umfrage hatten 61 Prozent der Unternehmen nach einer DDoS-Attacke zeitweise keinen Zugang zu kritischen Unternehmensinformationen. 38 Prozent der befragten Firmen konnten ihr Kerngeschäft nicht mehr erledigen. Ein weiteres Drittel verlor während der Ausfallzeit Geschäftsoptionen und Kontakte. Bei 29 Prozent der Unternehmen wirkte sich die DDoS-Attacke in der Folge negativ auf die Kreditwürdigkeit aus, bei einem Viertel stiegen die Versicherungsprämien.

Schaden bis zu 360.000 Euro

Den durchschnittlichen Schaden einer DDoS-Attacke beziffert Kaspersky bei mittelständischen Unternehmen auf 41.000 Euro. Bei großen Unternehmen sind es rund 360.000 Euro. Unkalkulierbar bleiben die Reputationsschäden, die durch das verlorene Vertrauen von Kunden und Partnern entstehen.

Eine Lösung, die Verfügbarkeit der Nameserver zu steigern, kann der Einsatz von Anycast-Technologie sein. Bei dieser Lösung sind weltweit verteilte Nameserver unter einer IP-Adresse erreichbar. Wird ein Domainname abgefragt, antwortet die nächstgelegene Instanz. Dadurch werden Antwortzeiten verkürzt und Lasten besser verteilt. Im Fall einer DDoS-Attacke ist nur der Anycast Standort betroffen, der dem Angreifer am nächsten ist. Alle anderen Server antworten weiterhin auf DNS Anfragen.

Zusätzlicher Schutz mit DNSSEC

Zusätzlicher Schutz kann mit dem Einsatz von DNSSEC erreicht werden. Die Sicherheitstechnik verhindert die Manipulationen von DNS-Auskünften. Ohne DNSSEC können kriminelle Webseitenaufrufe unbemerkt auf präparierte Server umlenken und so zu Beispiel Passwörter ausspionieren. Während in einigen Ländern DNSSEC inzwischen millionenfach eingesetzt wird, fristet die Technik in Deutschland teilweise noch ein Nischendasein. Schätzungen gehen davon aus, dass bisher erst rund 40.000 Domains mit DNSSEC signiert sind.

Fachleuten plädieren, die Technik zur Regel zu machen. Das Bundesamt für Sicherheit (BSI) hat zuletzt eine Sicherheitsempfehlung zur Verbesserung der Akzeptanz und der Verbreitung von DNSSEC herausgegeben. Gemeinsam mit Experten des Fachportals heise online und der Registrierungsstelle für .de-Domains (DENIC) haben BSI-Mitarbeiter außerdem auf dem DNSSEC-Day die Technik in einer Diskussionsrunde vorgestellt.

heise Netze: DNSSEC-Day 2015

Video abspielen?Wenn Sie das von uns eingebettete Videos abspielen wollen, müssen Sie unserer Cookie-Policy zustimmen, da hierbei systembedingt Third-Party-Cookies gesetzt und so Daten an den Betreiber des Videoportals gesendet werden. Hinweise und die Möglichkeit, die Zustimmung zu widerrufen, finden Sie hier.


Newsletter anmelden

InterNetXPress Newsletter

Werden Sie jetzt Teil von tausenden InterNetXPress-Lesern!
2x im Monat Jederzeit kündbar
Ich habe die Datenschutzerklärung zur Kenntnis genommen. Durch Anklicken „Abonnieren” willige ich ein, dass meine E-Mail-Adresse elektr. erhoben und gespeichert wird.

Hinweis: Sie können Ihre Einwilligung jederzeit ohne Angabe von Gründen für die Zukunft
per E-Mail datenschutz@internetx.com widerrufen.
Infrastructure as a Service ist die perfekte Cloud-Lösung für Unternehmen, die expandieren möchten, ohne die Vorteile einer On-Site- Infrastruktur zu…
Hans Seeuws von EURid im Podcast
Im Snapshot Podcast unterhalten wir uns mit schlauen Köpfen und klugen Unternehmer:innen zu Themen aus den Bereichen der Digitalisierung, dem Online…
It's all about domains... mit Mirjam Kühne von RIPE
Die technische Community trifft sich bei RIPE, um das Internet und seine einzigartigen Eigenschaften aufrechtzuerhalten und weiterzuentwickeln. Mirjam…
Heutzutage ist es schwierig einen guten Domainnamen zu finden, der nicht nur einprägsam ist, sondern auch zum Produkt oder zur Dienstleistung passt.…