Ein DNS Flood ist eine spezielle Form eines DDoS‑Angriffs, bei dem Angreifer den Domain Name System (DNS)‑Server eines Unternehmens oder Providers mit einer extrem hohen Anzahl an DNS‑Anfragen überlasten. Ziel ist es, den DNS‑Dienst lahmzulegen, sodass Webseiten oder Dienste nicht mehr erreichbar sind.
Funktionsweise eines DNS Flood
- Ein Botnetz oder viele verteilte Systeme senden massenhaft DNS‑Anfragen.
- Der DNS‑Server muss jede Anfrage beantworten und wird dadurch überlastet.
- Legitimer Traffic wird verdrängt oder gar nicht mehr verarbeitet.
- Webseiten oder Dienste, die auf diesen DNS‑Server angewiesen sind, wirken „offline“, obwohl die Server selbst funktionieren.
Typische Varianten
DNS Query Flood
Massive Mengen an scheinbar legitimen DNS‑Anfragen, oft zu zufälligen Subdomains.
Beispiel:
abc123.example.com
xyz999.example.com
Diese existieren nicht, verursachen aber Rechenlast.
DNS Amplification Attack
Angreifer nutzen offene DNS‑Resolver, um kleine Anfragen in große Antworten zu verstärken.
Das Zielsystem wird mit verstärktem Traffic überflutet.
NXDOMAIN Flood
Anfragen zu nicht existierenden Domains, die den DNS‑Server stark belasten.
Auswirkungen eines DNS Flood
- Webseiten sind nicht mehr erreichbar
- E‑Mail‑Systeme funktionieren nicht mehr
- Interne Dienste, die DNS benötigen, fallen aus
- Kunden und Mitarbeitende können nicht mehr arbeiten
- Reputationsschäden und finanzielle Verluste
Schutzmaßnahmen
Netzwerk‑ und DNS‑seitig
- Einsatz von Anycast‑DNS
- Nutzung von DNS‑DDoS‑Mitigation‑Diensten
- Rate‑Limiting für DNS‑Anfragen
- DNS‑Caching optimieren
- Redundante DNS‑Server an verschiedenen Standorten
Organisatorisch
- Monitoring und Frühwarnsysteme
- Notfallplan für DDoS‑Angriffe
- Zusammenarbeit mit Hosting‑ und DNS‑Anbietern
Warum DNS Floods so effektiv sind
- DNS ist ein kritischer Basisdienst
- Schon kleine Störungen wirken sich großflächig aus
- DNS‑Server müssen extrem schnell reagieren
- Viele Unternehmen betreiben DNS‑Infrastruktur nicht redundant genug
