Angriffe per DNS-Ampli­fi­ca­tion - das steckt dahinter

Viel­leicht wurden Sie von Ihrem Service-Provider schon einmal darauf aufmerksam gemacht, dass über Ihre Internet IP-Adresse ein offener DNS-Resolver erreichbar ist? Hat Ihr Provider Sie im glei­chen Atemzug gebeten, diesen zu schließen oder den Zugriff auf diesen Dienst einzu­schränken? Nur in den seltensten Fällen sind diese offenen DNS-Resolver wirk­lich dedi­ziert instal­lierte Name­server. Wesent­lich häufiger läuft der Dienst „out of the box“ auf dem heimi­schen DSL-Router, wo er als scheinbar harm­loses DNS-Relay für das lokale Netz fungiert. Worin steckt nun das Problem?
Eine Vari­ante der verteilten Denial-Of-Service Angriffe (kurz dDoS) verwendet solche DNS-Server als Verstärker. Hierbei wird die Eigen­schaft eines DNS Servers ausge­nutzt, auf sehr kleine Anfragen mit großen Data­grammen zu antworten. Unter Umständen kann ein DNS-Request mit einer Größe von 30 Bytes ein Antwort­da­ta­gramm von bis zu 4.000 Bytes Größe erzeugen - der Traffic wird also um mehr als das 100-fache verstärkt.
Am 19.März 2013 wurde der bekannte Anti-Spam Provider „Spam­haus“ durch eine massiven DNS-Attacke für mehrere Stunden massiv einge­schränkt. Mit einem Verstär­kungs­faktor von 100 wurde ein dDoS mit 750 Mbit/s von 30.000 offenen DNS Resol­vern auf 75 Gbit/s verstärkt. Der größte aufge­zeich­nete Angriff bisher: Im November 2014 erzeugten 250 Millionen DNS Pakete pro Sekunde eine Traf­fic­spitze von 500Gbit/s auf der Infra­struktur von Nach­rich­ten­agen­turen in Hongkong.
 
DNS Amplification
 
Wie läuft eine dDoS-Attacke ab? Übli­cher­weise hat ein Angreifer Zugriff auf ein Botnetz aus mit Troja­nern und anderer Malware infi­zierten Rech­nern, die sich beliebig fern­steuern lassen. Ferner konnte dieser Angreifer einen auto­ri­ta­tiven Name­server - zum Beispiel für die Domäne „example.com“ - korrum­pieren und dort einen gefälschten DNS Record mit einem entspre­chend umfang­rei­chen Antwort­da­ta­gramm hinterlegen.

1. Der Angreifer löst über seine Botnet-Zombies DNS-Anfragen an die offenen DNS-Resolver aus.

2. Hierbei wird in unserem Beispiel der TXT-Record der Domäne „example.com“ abgefragt.

3. Der offene Resolver findet nun über die root-DNS-Server den auto­ri­tiven Name­server dieser Domäne, ruft den korrum­pierten TXT-Record ab und spei­chert diesen für zukünf­tige Abfragen.

4. Da die Botnet-Zombies die Absen­de­adresse der DNS Anfragen gefälscht haben, werden die verstärkten DNS-Antwort­pa­kete auf ein spezi­fi­sches Ziel - wie beispiels­weise einen Webserver mit einem Online­shop -  gelenkt.

Nicht nur offene Resolver stellen eine Gefahr dar. DNS-Server stellen heute mehr als nur die simple Auflö­sung von Host­name zu IP-Adresse bereit. Immer mehr Infor­ma­tionen wie API-Keys, DKIM-Hashes, DNSSEC-Keys oder gar komplette GPG-Keychains und Zerti­fi­kate werden mitt­ler­weile von DNS-Servern bereit­ge­stellt. Diese Einträge sind von Natur aus lange Daten­ketten und besitzen somit einen deut­li­chen Verstärkungsfaktor.
Auto­ri­ta­tive Name­server müssen aus dem ganzen Internet abfragbar sein, weil sie die ursprüng­liche Infor­ma­tion der eigenen Domain für das Internet bereit­stellen. Man kann somit die IP-Kreise, aus denen die Abfragen erlaubt sind, nicht einschränken - im Gegen­satz zu offenen Resol­vern. Somit gibt wenig wirk­same Möglich­keiten, den Miss­brauch des eigenen DNS-Servers für eine DNS-Ampli­fi­ca­tion-Attacke zu verhin­dern. Ange­passte Secu­rity-Konzepte und Produkte helfen dabei, Traffic-Anoma­lien recht­zeitig zu erkennen und den Daten­fluss eines DNS Servers zu kontrollieren.
 
Ihre Fragen zu IT-Moni­to­ring beant­worten unsere Spezia­listen gern - spre­chen Sie uns einfach an!
 
Weiter­füh­rende Links zum Thema:
Secu­rity Advi­sory der ICANN: https://www.icann.org/en/system/files/files/dns-ddos-advisory-31mar06-en.pdf
Forbes Artikel über den jüngsten 500Gbit/s Angriff: http://www.forbes.com/sites/parmyolson/2014/11/20/the-largest-cyber-attack-in-history-has-been-hitting-hong-kong-sites/

Schreibe einen Kommentar

Cookie Einstellungen
Diese Website verwendet Cookies, um die bestmögliche Funktionalität zu gewährleisten. Mehr lesen

Akzeptiere alle Cookies Speichern