Anatomie eines DDoS-Angriffs - Teil 4: DNS Amplification Attacken

DDoS durch DNS-Anfragen

| Autor / Redakteur: Jim Öqvist, Check Point / Peter Schmitz

Aktuellstes Beispiel für eine DNS Amplification Attacke war der Angriff auf Spamhaus.org im März dieses Jahres, mit einem Amplification-Faktor von fast 100:1. Durch den Angriff waren waren sogar unabhängige Internet-Dienste teilweise nicht erreichbar.
Aktuellstes Beispiel für eine DNS Amplification Attacke war der Angriff auf Spamhaus.org im März dieses Jahres, mit einem Amplification-Faktor von fast 100:1. Durch den Angriff waren waren sogar unabhängige Internet-Dienste teilweise nicht erreichbar. (Bild: Markus Haack - Fotolia.com)

Eine DNS Amplification Attacke nutzt die tausendfach im Internet vorhanden offenen DNS-Server (Domain Name System), um mit großen Datenmengen den Internetanschluss zu überlasten und so einen DDoS-Angriff durchzuführen.

Erstmals entdeckt und analysiert wurde ein DNS Amplification Angriff (auch DNS Reflection bzw. Layer 3 Attacke genannt) 2006. Aktuellstes Beispiel für eine DNS Amplification Attacke war der Angriff auf Spamhaus.org im März dieses Jahres, als durch die schiere Größe der Datenströme eigentlich nicht betroffene Internet-Dienste teilweise nicht erreichbar waren.

Neben diesem prominenten Vorfall konnten noch weitere große Angriffe mit einem Volumen von jeweils mehr als 60 Gbps festgestellt werden, die von fortgeschritten Hackern nur mit großen Botnetzen in Kombination mit DNS Amplification Attacken durchgeführt werden konnten.

So funktioniert eine DNS Amplification Attacke

Eine Möglichkeit eine DNS Amplification Attacke zu starten, ist dafür eine UDP (User Data Protocol, Netzwerk Protokoll) Überflutung (flood) zu nutzen. Das Vorgehen ist recht einfach, dabei sendet der Angreifer viele verschiedene DNS-Anfragen an einen öffentlich zugänglichen DNS-Server, beispielsweise Googles freier DNS-Server 8.8.8.8.

In diesen Anfragen versteckt der Angreifer seine IP-Adresse und benutzt die IP-Adresse des Opfers. Der DNS-Server sendet dann ein Vielfaches an Antworten an die IP-Adresse des Opfers und kreiert damit eine Flut von UDP-Anfragen, die damit die Internetverbindung überlasten.

Dafür können die Angreifer eine Erweiterung des DNS-Protokolls (EDNS0) nutzen, mit dem sie große DNS-Nachrichten erschaffen können. Die Anfrage an den DNS-Server wird beispielsweise mit 60 Byte gestellt und dann mit einer Nachricht im Umfang von 4.000 Byte an die IP-Adresse des Opfers beantwortet.

Ergänzendes zum Thema
 
Check Point DDoS Protector

Der Amplification-Faktor erhöht das Datenvolumen des Datenverkehrs um durchschnittlich 70:1. Beim Angriff auf Spamhaus war der Faktor sogar fast 100:1. Das Beispiel zeigt zugleich, dass theoretisch jedes Unternehmen und jede Organisation Ziel eines solchen Angriffs werden kann.

So gefährlich und erfolgreich sind DDoS-Angriffe

Anatomie eines DDoS-Angriffs - Teil 1

So gefährlich und erfolgreich sind DDoS-Angriffe

15.08.13 - Distributed-Denial-of-Service (DDoS) Angriffe sind nicht neu, aber werden in letzter Zeit immer mehr und immer wirkungsvoller, denn der Ausfall von Servern und Diensten kostet Unternehmen inzwischen schnell viel Geld. lesen

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42285620 / Intrusion-Detection und -Prevention)