Anatomie eines DDoS-Angriffs - Teil 4: DNS Amplification Attacken DDoS durch DNS-Anfragen

Autor / Redakteur: Jim Öqvist, Check Point / Peter Schmitz

Eine DNS Amplification Attacke nutzt die tausendfach im Internet vorhanden offenen DNS-Server (Domain Name System), um mit großen Datenmengen den Internetanschluss zu überlasten und so einen DDoS-Angriff durchzuführen.

Firmen zum Thema

Aktuellstes Beispiel für eine DNS Amplification Attacke war der Angriff auf Spamhaus.org im März dieses Jahres, mit einem Amplification-Faktor von fast 100:1. Durch den Angriff waren waren sogar unabhängige Internet-Dienste teilweise nicht erreichbar.
Aktuellstes Beispiel für eine DNS Amplification Attacke war der Angriff auf Spamhaus.org im März dieses Jahres, mit einem Amplification-Faktor von fast 100:1. Durch den Angriff waren waren sogar unabhängige Internet-Dienste teilweise nicht erreichbar.
(Bild: Markus Haack - Fotolia.com)

Erstmals entdeckt und analysiert wurde ein DNS Amplification Angriff (auch DNS Reflection bzw. Layer 3 Attacke genannt) 2006. Aktuellstes Beispiel für eine DNS Amplification Attacke war der Angriff auf Spamhaus.org im März dieses Jahres, als durch die schiere Größe der Datenströme eigentlich nicht betroffene Internet-Dienste teilweise nicht erreichbar waren.

Neben diesem prominenten Vorfall konnten noch weitere große Angriffe mit einem Volumen von jeweils mehr als 60 Gbps festgestellt werden, die von fortgeschritten Hackern nur mit großen Botnetzen in Kombination mit DNS Amplification Attacken durchgeführt werden konnten.

So funktioniert eine DNS Amplification Attacke

Eine Möglichkeit eine DNS Amplification Attacke zu starten, ist dafür eine UDP (User Data Protocol, Netzwerk Protokoll) Überflutung (flood) zu nutzen. Das Vorgehen ist recht einfach, dabei sendet der Angreifer viele verschiedene DNS-Anfragen an einen öffentlich zugänglichen DNS-Server, beispielsweise Googles freier DNS-Server 8.8.8.8.

In diesen Anfragen versteckt der Angreifer seine IP-Adresse und benutzt die IP-Adresse des Opfers. Der DNS-Server sendet dann ein Vielfaches an Antworten an die IP-Adresse des Opfers und kreiert damit eine Flut von UDP-Anfragen, die damit die Internetverbindung überlasten.

Dafür können die Angreifer eine Erweiterung des DNS-Protokolls (EDNS0) nutzen, mit dem sie große DNS-Nachrichten erschaffen können. Die Anfrage an den DNS-Server wird beispielsweise mit 60 Byte gestellt und dann mit einer Nachricht im Umfang von 4.000 Byte an die IP-Adresse des Opfers beantwortet.

Der Amplification-Faktor erhöht das Datenvolumen des Datenverkehrs um durchschnittlich 70:1. Beim Angriff auf Spamhaus war der Faktor sogar fast 100:1. Das Beispiel zeigt zugleich, dass theoretisch jedes Unternehmen und jede Organisation Ziel eines solchen Angriffs werden kann.

Wie sollte ich auf eine DNS Amplification Attacke reagieren?

Bei einer DNS Amplification Attacke werden "ahnungslose" DNS-Server als Mittel zum Angriff auf Server missbraucht.
Bei einer DNS Amplification Attacke werden "ahnungslose" DNS-Server als Mittel zum Angriff auf Server missbraucht.
(Bild: Check Point Software Technologies)
Technisch: Wenn Unternehmen sichergehen wollen, dass sie nicht Teil einer DNS Amplification Attacke sind, dann gibt es eine Reihe von Verteidigungstechniken, die ihren DNS-Servern das Verhalten von legitimen Anfragen beibringen können.

Wenn allerdings der eigene Server Ziel einer DNS Amplification Attacke wird, dann ist die Strategie dahinter die Netzwerkverbindung mit einer Flut von Anfragen zu überlasten, und zwar in der gleichen Art und Weise wie bei einer volumetrischen Attacke.

Ein Weg sich vor solchen Attacken zu schützen, ist die Nutzung eines Cloud-basierten Service, der die Anfragen an ein Scrubbing Center weiterleitet. Dann werden die gesamten einkommenden Anfragen auf dieser Mitigation-Plattform analysiert und nur legitime Anfragen werden zurück ins Netzwerk geroutet.

Organisatorisch: Ähnlich wie bei den volumetrischen Angriffen können die IP-Adressen nicht nachverfolgt werden, allerdings nicht wegen des spoofings, sondern weil die Adressen alle zu den unschuldigen DNS-Servern führen, die für den Angriff missbraucht wurden.

Die Verteidigungsstrategie gegen DNS Amplification Attacken gleicht derer gegen volumetrische Attacken und lässt sich auf alle Arten von DDoS-Angriffen anwenden. Wichtig sind wiederholende Trainings des IT-Sicherheitsteams, die Geschäftsführung über alle Vorgänge laufend zu informieren und die Awareness für die Auswirkungen einer erfolgreichen DDoS-Attacke auf das Unternehmen bzw. die Organisation zu schärfen.

Es ist ebenfalls Best Practise die Rohpaketdaten dieser Attacken aufzuzeichnen, um zu verifizieren, dass die UDP-Flut wirklich ein Teil einer DNS Amplification Attacke war.

Das Ergebnis dieser forensischen Untersuchung kann dafür genutzt werden, um andere Unternehmen darüber zu informieren, woher die Anfragen kamen und dass ihr DNS-Server dafür missbraucht wurde.

Im fünften und letzten Teil dieser Serie über DDoS-Angriffe zeigen wir wie Application Layer Attacken funktionieren und warum sie eine Gefahr für Anwendungen und Server sind.

Jim Öqvist ist Security Engineer Europe bei der Check Point Technologies GmbH.

(ID:42285620)