DNS

So funktioniert es

Besucht jemand eine Domain, löst eine DNS-Abfrage den Namen über eine Kette aus Resolvern und Nameservern in eine IP-Adresse auf. Einträge wie A, MX und TXT steuern, wo die Seite liegt, wohin ihre E-Mail geht und wie Absender authentifiziert werden. Angreifer missbrauchen DNS, indem sie Lookalikes registrieren, Einträge kapern oder verwaiste Subdomains auf von ihnen kontrollierte Infrastruktur zeigen lassen.

Unser ausführlicher DNS-Leitfaden behandelt die Eintragstypen und Sicherheitserweiterungen im Detail.

Bezug zur Brand-Impersonation

Die meiste domainbasierte Impersonation läuft über DNS, von Lookalike-Registrierungen bis zu gekaperten Einträgen. Es zu verstehen lässt den Rest des Domain-Missbrauch-Glossars zusammenpassen.

So hilft nebty

nebty überwacht DNS- und Registrierungsänderungen rund um Ihre Brand, um Lookalikes und Manipulationen früh zu erkennen. Für die Grundlagen siehe unseren DNS-Leitfaden.

Die Einträge, die für Missbrauch zählen

Eine Handvoll DNS-Eintragstypen erledigt den Großteil der Arbeit, und dieselben tauchen beim Missbrauch auf. Die A- und AAAA-Einträge zeigen einen Namen auf eine IPv4- oder IPv6-Adresse und entscheiden so, von welchem Server eine Lookalike-Domain tatsächlich ausliefert. MX-Einträge leiten Mail, weshalb ein frisch registrierter Lookalike, der plötzlich MX-Einträge erhält, ein Zeichen ist, dass er zum Versand gefälschter E-Mails vorbereitet wird. TXT-Einträge enthalten SPF-, DKIM- und DMARC-Richtlinien, die E-Mail-Authentifizierungsdaten, die entscheiden, ob gefälschte Mail durchkommt. NS-Einträge definieren die autoritativen Nameserver, und eine unerwartete Änderung daran kann auf einen Hijack hindeuten. Sie müssen kein DNS administrieren, um eine Brand zu schützen, aber zu wissen, welcher Eintrag was tut, erklärt, warum das Beobachten von DNS-Änderungen rund um Ihren Namen Bedrohungen früh fängt. Unser ausführlicher DNS-Leitfaden geht tiefer.