DNS-Sicherheit und Hardening — BIND, DNSdist und volumetrische DDoS-Resilienz
ITORO härtet und schützt autoritatives und rekursives DNS mit einem mehrschichtigen Ansatz: NIST-gehärtete BIND-Resolver, ein DNSdist-Sicherheits-Frontend und volumetrische Mitigation mit WanGuard. DNS-DDoS-Angriffe erstrecken sich über zwei sehr unterschiedliche Ebenen — die volumetrische und die Anwendungsebene — und jede erfordert das richtige Werkzeug. Wir sagen ausdrücklich, was wo gefiltert wird, statt eine einzige Box zu versprechen, die alles stoppt.
Drei Ebenen der DNS-DDoS-Resilienz
- Volumetrisch (L3/L4) — Amplifikations- und Reflexionsfluten auf UDP/53 werden von WanGuard mit BGP FlowSpec und RTBH verworfen, bevor sie Ihre Uplinks sättigen.
- Anwendungsebene (L7) — NXDOMAIN-, Zufalls-Subdomain- (water-torture) und Abfragefluten sehen wie gültiges DNS aus, sodass BGP FlowSpec sie nicht abgleichen kann. Sie werden in DNSdist durch clientbezogene Antwort-Ratenbegrenzung und dynamisches Blockieren gestoppt.
- Resolver-Härtung — der DNS-Server selbst wird gemäß NIST SP 800-81r3 abgesichert, damit er unter Last schnell und korrekt bleibt.
BIND-Härtung (NIST SP 800-81r3)
Wir implementieren oder überprüfen Ihre BIND9-Resolver anhand aktueller Best Practices:
- DNSSEC-Validierung, um gefälschte und manipulierte Antworten abzuweisen.
- Eingegrenzte ACLs —
allow-recursionund Listen vertrauenswürdiger Netze, begrenzt auf Ihre eigenen Präfixe, wodurch der Missbrauch als offener Resolver unterbunden wird. - EDNS-Puffer 1232 (DNS Flag Day 2020), um die Angriffsfläche durch IP-Fragmentierung zu beseitigen.
- QNAME-Minimierung und DNS cookies gegen Off-Path-Spoofing und Datenschutzlecks.
- Versionsverschleierung und Dienstkonfiguration nach dem Prinzip der geringsten Rechte.
- Strukturierte Protokollierung mit einer Aufbewahrung von 90 Tagen bis 12 Monaten für DFIR und NIS2-Nachweise.
- Hidden-Primary- / Upstream-only-Architektur, sodass die Rekursionsebene niemals direkt exponiert ist.
DNSdist-Sicherheits-Frontend
Vor BIND betreiben wir DNSdist als kundenseitige Policy-Ebene — die Schicht, die anwendungsseitige DNS-Fluten tatsächlich stoppt:
- Ratenbegrenzung pro Client und pro Netz, um NXDOMAIN- und water-torture-Abfragefluten aufzufangen.
- Dynamisches Blockieren, das in Echtzeit auf missbräuchliche Quellen reagiert.
- DNS-Firewall — schützendes Blockieren bekannter bösartiger C2- und Malware-Domains aus aktuellen Bedrohungs-Feeds (URLhaus, ThreatFox, CERT.pl und weitere), alle paar Minuten heiß nachgeladen.
- Antwort-Caching und Backend-Lastausgleich über Ihre BIND-Resolver hinweg für Resilienz unter Angriff.
- Verschlüsseltes DNS — DoT (853), DoH (443) und DoQ, auf DNSdist terminiert mit automatisierten Let’s-Encrypt-Zertifikaten.
NIS2-Ausrichtung
DNS ist unter NIS2 als kritische Infrastruktur eingestuft. Unsere Härtung entspricht den technischen Maßnahmen nach Artikel 21 Absatz 2: Zugriffskontrolle, Protokollierung und Aufbewahrung, schützendes DNS, Verschlüsselung und Überwachung. Wir können eine länderspezifische Compliance-Checkliste bereitstellen und die Alarmierung in Ihren Meldeprozess für Vorfälle an das nationale CSIRT einbinden (zum Beispiel CSIRT NASK in Polen). Sehen Sie sich unsere Optionen für Support und NIS2 an.
Ehrlicher Geltungsbereich — was jede Ebene kann und was nicht
- BGP FlowSpec drückt ausschließlich L3/L4-Match-Kriterien aus — es kann DNS-Abfragenamen nicht inspizieren und stoppt daher keine L7-DNS-Fluten. Das ist die Aufgabe von DNSdist.
- Die Antwort-Ratenbegrenzung schützt Ihren Resolver, doch die Flut erreicht dennoch die Leitung — volumetrische Ereignisse im Terabit-Bereich werden vorgelagert an ein Scrubbing-Center eskaliert.
- Wir setzen die Ebene ein, die zu Ihrem Traffic und Budget passt; wir verkaufen kein einzelnes Gerät als Allheilmittel.
Häufig gestellte Fragen
Kann WanGuard allein DNS vor DDoS schützen?
Nein. WanGuard und BGP FlowSpec übernehmen den volumetrischen Teil — Amplifikations- und Reflexionsfluten auf UDP/53. Anwendungsseitige DNS-Fluten (NXDOMAIN, water-torture) erfordern die Antwort-Ratenbegrenzung von DNSdist auf Layer 7. Wir setzen beides ein, damit sich die Ebenen gegenseitig abdecken.
Was ist ein DNS-water-torture-Angriff (Zufalls-Subdomain)?
Eine Flut von Abfragen nach zufälligen, nicht existierenden Subdomains einer echten Zone. Jede sieht wie eine gültige Anfrage aus, sodass paketbasierte Filter sie durchlassen; zusammen erschöpfen sie den Cache und die CPU des Resolvers. Die Ratenbegrenzung und das dynamische Blockieren von DNSdist mitigieren sie.
Unterstützen Sie DNSSEC und verschlüsseltes DNS?
Ja — DNSSEC-Validierung auf BIND sowie DoT, DoH und DoQ auf DNSdist mit automatisierter Zertifikatserneuerung.
Ist das NIS2-konform?
Es entspricht NIS2 Artikel 21 Absatz 2: Zugriffskontrolle, Protokollierung und Aufbewahrung, schützendes DNS, Verschlüsselung und Überwachung sowie Vorfallmeldung an Ihr nationales CSIRT. Wir stellen die Checkliste und den Nachweispfad bereit.
Ersetzen Sie unser DNS oder härten Sie das, was wir betreiben?
Beides. Wir härten Ihr bestehendes BIND und DNSdist oder implementieren einen frisch gehärteten Stack, dimensioniert auf Ihren Abonnentenstamm — als einmaliges Projekt oder mit laufendem Managed Support.