Angriffe per DNS-Amplification – das steckt dahinter

Vielleicht wurden Sie von Ihrem Service-Provider schon einmal darauf aufmerksam gemacht, dass über Ihre Internet IP-Adresse ein offener DNS-Resolver erreichbar ist? Hat Ihr Provider Sie im gleichen Atemzug gebeten, diesen zu schließen oder den Zugriff auf diesen Dienst einzuschränken? Nur in den seltensten Fällen sind diese offenen DNS-Resolver wirklich dediziert installierte Nameserver. Wesentlich häufiger läuft der Dienst „out of the box“ auf dem heimischen DSL-Router, wo er als scheinbar harmloses DNS-Relay für das lokale Netz fungiert. Worin steckt nun das Problem?
Eine Variante der verteilten Denial-Of-Service Angriffe (kurz dDoS) verwendet solche DNS-Server als Verstärker. Hierbei wird die Eigenschaft eines DNS Servers ausgenutzt, auf sehr kleine Anfragen mit großen Datagrammen zu antworten. Unter Umständen kann ein DNS-Request mit einer Größe von 30 Bytes ein Antwortdatagramm von bis zu 4.000 Bytes Größe erzeugen – der Traffic wird also um mehr als das 100-fache verstärkt.
Am 19.März 2013 wurde der bekannte Anti-Spam Provider „Spamhaus“ durch eine massiven DNS-Attacke für mehrere Stunden massiv eingeschränkt. Mit einem Verstärkungsfaktor von 100 wurde ein dDoS mit 750 Mbit/s von 30.000 offenen DNS Resolvern auf 75 Gbit/s verstärkt. Der größte aufgezeichnete Angriff bisher: Im November 2014 erzeugten 250 Millionen DNS Pakete pro Sekunde eine Trafficspitze von 500Gbit/s auf der Infrastruktur von Nachrichtenagenturen in Hongkong.
 
DNS Amplification
 
Wie läuft eine dDoS-Attacke ab? Üblicherweise hat ein Angreifer Zugriff auf ein Botnetz aus mit Trojanern und anderer Malware infizierten Rechnern, die sich beliebig fernsteuern lassen. Ferner konnte dieser Angreifer einen autoritativen Nameserver – zum Beispiel für die Domäne „example.com“ – korrumpieren und dort einen gefälschten DNS Record mit einem entsprechend umfangreichen Antwortdatagramm hinterlegen.

1. Der Angreifer löst über seine Botnet-Zombies DNS-Anfragen an die offenen DNS-Resolver aus.

2. Hierbei wird in unserem Beispiel der TXT-Record der Domäne „example.com“ abgefragt.

3. Der offene Resolver findet nun über die root-DNS-Server den autoritiven Nameserver dieser Domäne, ruft den korrumpierten TXT-Record ab und speichert diesen für zukünftige Abfragen.

4. Da die Botnet-Zombies die Absendeadresse der DNS Anfragen gefälscht haben, werden die verstärkten DNS-Antwortpakete auf ein spezifisches Ziel – wie beispielsweise einen Webserver mit einem Onlineshop –  gelenkt.

Nicht nur offene Resolver stellen eine Gefahr dar. DNS-Server stellen heute mehr als nur die simple Auflösung von Hostname zu IP-Adresse bereit. Immer mehr Informationen wie API-Keys, DKIM-Hashes, DNSSEC-Keys oder gar komplette GPG-Keychains und Zertifikate werden mittlerweile von DNS-Servern bereitgestellt. Diese Einträge sind von Natur aus lange Datenketten und besitzen somit einen deutlichen Verstärkungsfaktor.
Autoritative Nameserver müssen aus dem ganzen Internet abfragbar sein, weil sie die ursprüngliche Information der eigenen Domain für das Internet bereitstellen. Man kann somit die IP-Kreise, aus denen die Abfragen erlaubt sind, nicht einschränken – im Gegensatz zu offenen Resolvern. Somit gibt wenig wirksame Möglichkeiten, den Missbrauch des eigenen DNS-Servers für eine DNS-Amplification-Attacke zu verhindern. Angepasste Security-Konzepte und Produkte helfen dabei, Traffic-Anomalien rechtzeitig zu erkennen und den Datenfluss eines DNS Servers zu kontrollieren.
 
Ihre Fragen zu IT-Monitoring beantworten unsere Spezialisten gern – sprechen Sie uns einfach an!
 
Weiterführende Links zum Thema:
Security Advisory der ICANN: https://www.icann.org/en/system/files/files/dns-ddos-advisory-31mar06-en.pdf
Forbes Artikel über den jüngsten 500Gbit/s Angriff: http://www.forbes.com/sites/parmyolson/2014/11/20/the-largest-cyber-attack-in-history-has-been-hitting-hong-kong-sites/

EU Efre Dekra