Ein DNS Reflective Attack wird bei vielen Distributed-Denial-of-Service (DDoS)-Angriffen verwendet, um eine Internetleitung lahmzulegen. Der Angreifer sendet eine große Anzahl von Anfragen an einen oder mehrere legitime DNS-Server und verwendet dabei eine gefälschte Quell-IP des Zielopfers. Der DNS-Server, der die halblegitimen Anfragen erhält, antwortet auf die gefälschte IP-Adresse und startet so unwissentlich einen Angriff auf das Zielopfer mit Antworten auf Anfragen, die das Opfer nie gesendet hat.

Das Internet ist voll von DNS-Servern, die als Open-Resolver angeboten werden und jede an sie gesendete Anfrage beantworten, in einigen Berichten wird die Zahl mit Millionen angegeben. Diese riesige Zahl macht es sehr schwer, den Angriff anhand der IP-Reputation im Voraus zu erkennen. Darüber hinaus handelt es sich bei den Servern um legitime Server, die in der Regel legitimen Datenverkehr senden, so dass jeder IP-Reputationsdienst nicht erkennen kann, ob es sich um einen böswilligen Angriff handelt oder nicht.

Die meisten DNS-Anfragen werden über UDP gesendet, ein Protokoll, das keine Überprüfung der Quell-IP ermöglicht. Deshalb geht der zwischengeschaltete DNS-Server davon aus, dass die Anfragen vom Opfer stammen und sendet die Antworten an dieses zurück. Das IP-Spoofing macht es dem Opferserver extrem schwer, den Angreifer zu entdecken, da es so aussieht, als ob er von einem legitimen DNS-Server angegriffen wird, und die IP des Angreifers vollständig verborgen ist. IP-Spoofing macht auch IP-Reputationsdienste ungültig, die, wenn sie nicht richtig geschrieben sind, einem legitimen DNS-Server einen schlechten Ruf zuweisen können. Außerdem ist es für Sicherheitsexperten, die versuchen, die Angriffsquelle zu identifizieren, nicht mehr nachvollziehbar.

Ein weiterer Vorteil des Spoofing ist die Möglichkeit, jeden Server oder Dienst anzugreifen. Der Angreifer kann die öffentliche Server-IP und den Port des Opfers verwenden, um sicherzustellen, dass der Angriff an einen beliebigen Dienst gesendet wird, nicht nur an einen DNS-Dienst. Der Datenverkehr sieht einfach wie eine Menge Daten aus, und der Server muss die Daten analysieren und prüfen, um sicherzustellen, dass es sich nicht um legitimen Datenverkehr handelt.

Beachten Sie, dass das IP-Spoofing auch eine Einschränkung dieses Angriffs ist – wenn IP-Spoofing nicht möglich ist, kann der Angriff nicht gestartet werden, da es keine Möglichkeit gibt, die Antworten an die IP des Opfers zu richten. Dies ist der Fall bei den Mirai-Bots, die auf IoT-Geräten hinter einem Router laufen, der NAT durchführt. Jüngste Mirai-Infektionstaktiken zielen jedoch auf die Heimrouter selbst ab, wodurch die NAT-Beschränkung umgangen wird.

Der jüngste und größte Vorteil, der zum zerstörerischen Potenzial von reflektierenden DNS-Floods beiträgt, ist die Verstärkung, die mithilfe von DNS-Erweiterungen (EDNS0, definiert in RFC 2671) und DNSSec erreicht werden kann. EDNS0 ermöglicht es, dass die DNS-Antwort größer als die ursprünglich zulässigen 512 ist, während DNSSec die Authentifizierung der Antwort ermöglicht, um Cache Poisoning zu verhindern. DNSSec setzt EDNS0 voraus, da es der Antwort kryptografische Daten hinzufügt. Da DNSSec im heutigen sicherheitsbewussten Internet immer beliebter wird, unterstützen immer mehr DNS-Server EDNS0 und ermöglichen es einem Angreifer, große Antworten auf seine Anfragen zu erhalten.

Die mögliche Größe der Antwort – bis zu 4096 Bytes – ermöglicht es dem Angreifer, eine kleine Anzahl kurzer Anfragen zu senden, während die vom DNS-Server gesendeten Antworten stark vergrößert werden und die Internetleitung des Opfers auslasten. Angreifer können den DNS-Server studieren und herausfinden, welche legitimen Anfragen zu großen Antworten führen können, und DNSSec verwenden, um sie mit kryptografischen Daten noch größer zu machen. In vielen Fällen kann die Antwort bis zu 4096 Bytes groß werden, was einen Verstärkungsfaktor von x100 für die ursprüngliche Anfrage ergibt.

Bei der heutigen großen Internet-Konnektivität kann eine 100-Meter-Verbindung zum Internet einen bescheidenen Angriff allein senden und trotzdem einen gewissen Schaden an einer normalen Website verursachen. Wenn der Angreifer jedoch in der Lage ist, diese riesige 4096-Byte-Antwort für seine 44-Byte-Anfrage zu verwenden und eine 100-fache Verstärkung zu erhalten, erhält der Opferserver 10 G Angriffsverkehr, der seine normale Bandbreite übersteigt. Ein solcher Datenverkehr führt dazu, dass jeder normale Dienst sofort außer Betrieb gesetzt wird. Stellen Sie sich vor, was mit einem Botnetz von nur wenigen solcher Bots erreicht werden kann.

Zu der Größe der Antwort kommt noch hinzu, dass solche Antworten nicht in ein normales IP-Paket passen. In solchen Fällen verwenden die Server die IP-Fragmentierungsoption, die es ihnen ermöglicht, die Nachricht in mehrere Pakete aufzuteilen. Die Verwendung von fragmentiertem Datenverkehr für den Angriff macht die Angriffsabwehr noch schwieriger – der Mitigator muss die Schicht-4-Daten des ersten Pakets (UDP-Ports) in einer Tabelle speichern und auf die restlichen Pakete derselben Nachricht anwenden. Viele Netzwerkeinheiten sind durch eine Menge fragmentierten Datenverkehrs schnell erschöpft, was diesen Angriff noch effizienter macht.

Das YouTube-Video zum DNS-Amplifikationsangriff von Radware veranschaulicht grafisch die Struktur und den Ablauf eines Reflective-DNS-Angriffs.

Nachdem man alle Einzelheiten des DNS-Reflective-Angriffs kennengelernt hat, bleibt nur noch eine Frage: Wie kann man eine Organisation vor einem solchen Angriff schützen und ihn entschärfen? Im Gegensatz zur Raffinesse des Angriffs selbst gibt es für dieses Problem eine bekannte Lösung: Um einen DNS-Reflection-Angriff zu entschärfen, muss man einen guten Detektor vor Ort haben, der den Angriff schnell erkennt und Ausfallzeiten verhindert. Der Detektor sollte intelligent genug sein, um zu erkennen, dass der Angriff, den er erkennt, die Internetverbindung sättigt und der Datenverkehr zu einem Cloud Scrubbing Center umgeleitet werden muss. Sobald der Datenverkehr zum Cloud Scrubbing umgeleitet wird, wird er gesäubert und an die Website geschickt.

Das Scrubbing selbst hängt von der Menge an ähnlichem Datenverkehr ab, der als legitim angesehen wird – sieht die Website viel UDP-Datenverkehr? DNS-Verkehr? Fragmentierter Verkehr? Und wenn ja, was unterscheidet ihn vom Angriffsverkehr? Die Verwendung einer automatisierten Technik zur Unterscheidung von legitimem und angegriffenem Datenverkehr bietet Ihnen eine gute und schnelle Cloud-Abwehr und gibt Ihnen auch ein gewisses Maß an Sicherheit.

Weitere Informationen finden Sie in meinem früheren Blog: DNS und DNS-Angriffe

Lesen Sie „Erstellen einer sicheren Umgebung für ungeschützte APIs“, um mehr zu erfahren.

Jetzt herunterladen