Anatomie eines DDoS-Angriffs - Teil 4: DNS Amplification Attacken

DDoS durch DNS-Anfragen

Seite: 2/2

Firmen zum Thema

Wie sollte ich auf eine DNS Amplification Attacke reagieren?

Bei einer DNS Amplification Attacke werden "ahnungslose" DNS-Server als Mittel zum Angriff auf Server missbraucht.
Bei einer DNS Amplification Attacke werden "ahnungslose" DNS-Server als Mittel zum Angriff auf Server missbraucht.
(Bild: Check Point Software Technologies)
Technisch: Wenn Unternehmen sichergehen wollen, dass sie nicht Teil einer DNS Amplification Attacke sind, dann gibt es eine Reihe von Verteidigungstechniken, die ihren DNS-Servern das Verhalten von legitimen Anfragen beibringen können.

Wenn allerdings der eigene Server Ziel einer DNS Amplification Attacke wird, dann ist die Strategie dahinter die Netzwerkverbindung mit einer Flut von Anfragen zu überlasten, und zwar in der gleichen Art und Weise wie bei einer volumetrischen Attacke.

Ein Weg sich vor solchen Attacken zu schützen, ist die Nutzung eines Cloud-basierten Service, der die Anfragen an ein Scrubbing Center weiterleitet. Dann werden die gesamten einkommenden Anfragen auf dieser Mitigation-Plattform analysiert und nur legitime Anfragen werden zurück ins Netzwerk geroutet.

Organisatorisch: Ähnlich wie bei den volumetrischen Angriffen können die IP-Adressen nicht nachverfolgt werden, allerdings nicht wegen des spoofings, sondern weil die Adressen alle zu den unschuldigen DNS-Servern führen, die für den Angriff missbraucht wurden.

Die Verteidigungsstrategie gegen DNS Amplification Attacken gleicht derer gegen volumetrische Attacken und lässt sich auf alle Arten von DDoS-Angriffen anwenden. Wichtig sind wiederholende Trainings des IT-Sicherheitsteams, die Geschäftsführung über alle Vorgänge laufend zu informieren und die Awareness für die Auswirkungen einer erfolgreichen DDoS-Attacke auf das Unternehmen bzw. die Organisation zu schärfen.

Es ist ebenfalls Best Practise die Rohpaketdaten dieser Attacken aufzuzeichnen, um zu verifizieren, dass die UDP-Flut wirklich ein Teil einer DNS Amplification Attacke war.

Das Ergebnis dieser forensischen Untersuchung kann dafür genutzt werden, um andere Unternehmen darüber zu informieren, woher die Anfragen kamen und dass ihr DNS-Server dafür missbraucht wurde.

Im fünften und letzten Teil dieser Serie über DDoS-Angriffe zeigen wir wie Application Layer Attacken funktionieren und warum sie eine Gefahr für Anwendungen und Server sind.

Jim Öqvist ist Security Engineer Europe bei der Check Point Technologies GmbH.

(ID:42285620)