Abwehr von Denial-of-Service-Angriffen

Originalartikel von Ben April, Senior Threat Researcher

Die Zahl der Denial-of-Service-Angriffe durch DNS Reflection oder Amplification nimmt zu. Es gibt viele Varianten davon, der prinzipielle Verlauf einer Attacke aber ist immer gleich:

  1. Der Angreifer erstellt eine DNS-Anfrage mit einer gefälschten Quell-IP-Adresse – nämlich der des angepeilten Opfers (nach dem Muster falscher “Zurück an den Absender”-Adressen).
  2. Die Anfrage geht an einen DNS-Server, der Queries von externen Adressen akzeptiert (etwa von einem anderen ISP/Netzwerk). Häufig wird DNSSEC eingesetzt, da die Rückläufe damit viel umfangreicher ausfallen können als andere DNS-Antworten.
  3. Das Opfer wird mit Paketen überflutet. Dies können entweder Antworten eines DNS-Servers sein oder abgeschickte Fehlermeldungen, die dann zurück an den „Absender“ gehen.
  4. Über DNS-Reflection ist es möglich, von einer relativ geringen Anzahl Hosts (häufig schon kompromittiert) ein Riesenvolumen an Netzwerkverkehr zu den Opfern zu generieren. Oft wissen die missbrauchten DNS-Server gar nicht, dass sie in einen Angriff verwickelt sind.
  5. Es ist sehr schwer, diese Art von Angriff zu verfolgen, da die Quelle gut kaschiert ist. Auch bedarf es der engen Zusammenarbeit mit den DNS-Serverbetreibern und ihrer Netzwerk-Service-Provider, um eine Attacke zu ihrer Quelle zurück zu verfolgen.


Netzwerkbetreiber und Administratoren von DNS-Servern können gleichermaßen dazu beitragen, diese Angriffe zu entschärfen.

 Netzwerkbetreiber

Schätzungsweise 14,1% der Adressbereiche (Netblocks) mit insgesamt 16,8% aller IP-Adressen können vorgetäuscht werden. Das scheint auf den ersten Blick nicht viel, doch das Internet ist riesig, und ein Angriff über DNS Reflection kann auch dann sehr hohen Schaden anrichten, wenn dabei weniger als ein Prozent der IP-Adressen genutzt werden.

Zugangsfilter auf dem Router oder der Firewall sind eine Möglichkeit zu verhindern, dass Netzwerke für diese Art von Angriffen missbraucht werden: Pakete können den Router nicht passieren, wenn deren Quelladressse nicht zu der Schnittstelle gehört, auf der das Paket angekommen ist.

Spoofing-Angriffe von Maschinen in demselben Netzwerk können damit nicht gestoppt werden, doch lässt sich verhindern, dass Maschinen auf Spoofing beruhende Angriffe gegen andere Netzwerke starten. BCP-38 beschreibt detailliert, wie dieses Filtering aufzusetzen ist.

DNS-Serverbetreiber

Betreiber von DNS-Servern spielen ebenfalls eine wichtige Rolle bei der Abwehr dieser Bedrohung. Beim Betrieb von DNS-Servern mit öffentlich zugänglichen Domänen ist es natürlich klar, dass Anfragen für diese Domänen angenommen werden sollten, unabhängig davon, von welchem Host im Internet sie kommen. Doch was passiert mit Domänen, die der Betreiber nicht unter Kontrolle hat?

Es scheint ungefährlich, jeder IP im Internet zu erlauben, beim DNS-Server nach einem A-Record für beispielsweise www.trendmicro.de anzufragen. Wird die Möglichkeit des Quelladress-Spoofings außer Acht gelassen, wäre diese Anfrage auch harmlos. Die Authentizität der Quell-IP für Anfragen von außerhalb des Netzwerks kann nicht überprüft werden, sodass es unmöglich ist festzustellen, ob die Anfrage an die Server tatsächlich ohne Hintergedanken erfolgt ist.

Dieses Problem können DNS-Serverbetreiber umgehen, indem sie zwei Gruppen von Name-Servern aufsetzen: Die eine kümmert sich um Antworten auf Anfragen für die öffentlich zugänglichen Domänen, die der Betreiber hostet und ignoriert die Anfragen für jede andere Domäne. Der zweite Satz unterstützt Endanwender innerhalb seines Netzwerks und bietet die rekursive Adressauflösung für jede Website, die sie besuchen. Dies ließe sich auch mit nur einem Server-Satz bewerkstelligen, doch ist dann die Konfiguration schwieriger.

Muss ein Betreiber aus bestimmten Gründen auch weiterhin nach draußen offene DNS-Resolver verwenden, so sollte er den Einsatz einer Durchsatzbeschränkung in Erwägung ziehen, um den Missbrauch zu verhindern.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*