Originalartikel von Ben April, Senior Threat Researcher
Die Zahl der Denial-of-Service-Angriffe durch DNS Reflection oder Amplification nimmt zu. Es gibt viele Varianten davon, der prinzipielle Verlauf einer Attacke aber ist immer gleich:
- Der Angreifer erstellt eine DNS-Anfrage mit einer gefälschten Quell-IP-Adresse – nämlich der des angepeilten Opfers (nach dem Muster falscher “Zurück an den Absender”-Adressen).
- Die Anfrage geht an einen DNS-Server, der Queries von externen Adressen akzeptiert (etwa von einem anderen ISP/Netzwerk). Häufig wird DNSSEC eingesetzt, da die Rückläufe damit viel umfangreicher ausfallen können als andere DNS-Antworten.
- Das Opfer wird mit Paketen überflutet. Dies können entweder Antworten eines DNS-Servers sein oder abgeschickte Fehlermeldungen, die dann zurück an den „Absender“ gehen.
- Über DNS-Reflection ist es möglich, von einer relativ geringen Anzahl Hosts (häufig schon kompromittiert) ein Riesenvolumen an Netzwerkverkehr zu den Opfern zu generieren. Oft wissen die missbrauchten DNS-Server gar nicht, dass sie in einen Angriff verwickelt sind.
- Es ist sehr schwer, diese Art von Angriff zu verfolgen, da die Quelle gut kaschiert ist. Auch bedarf es der engen Zusammenarbeit mit den DNS-Serverbetreibern und ihrer Netzwerk-Service-Provider, um eine Attacke zu ihrer Quelle zurück zu verfolgen.