Blog-Seite

Jeder Beitrag auf dieser Blogseite soll den Umgang mit dem Domain Name Service vereinfachen.

alle Artikel
3 min Lesezeit

Was ist eine DNS Amplification Attack?

Die DNS Amplification Attack zählt zu den DDoS-Angriffen. Denn der Angreifer nutzt falsch konfigurierte Name-Server aus und leitet riesige Datenströme auf den Internetanschluss des Opfers mit den falsch konfigurierten Name-Server weiter. Als Ergebnis der Umleitung ist der Internetanschluss des Opfers überlastet und kann nicht mehr verwendet werden. Dies ist um so fataler in Zeiten von Cloud-basierten Rechenzentren.

Wo liegt das Problem?

Bei dieser Angriffstechnik dienen Name-Server als Verstärker. Denn Name-Server antworten auf Anfragen (kleine Paketgröße) mit sehr großen Pakten. Aktuelle DNS-Implementierungen unterstützen Extension Mechanism for DNS (EDN), mit der eine Antwort sogar über 4000 Byte groß sein kann. Der Datenverkehr steigt also in Relation zur Paketgröße des Anfragenden von 30 Byte um mehr als das Hundertfache an. Somit genügen für eine DDoS-Attacke wenige Open Resolver und eine überschaubare Zahl von Anfragen pro Zeit, um einen Server oder ein Netz lahm zu legen.

Wie funktioniert eine DNS Amplification Attack?

Meist besitzt der Angreifer Zugriff auf ein Botnetz. Zusätzlich korrumpiert der Angreifer einen Name-Server und hinterlegt auf diesem einen gefälschten DNS-Record. Viele Name-Server arbeiten mit rekursiver Auflösung, bei der sich der Server so lange durchfragt, bis er einen anderen Name-Server gefunden hat, der für eine gefragte Domain zuständig ist. Normalerweise sollte ein rekursiv arbeitender Name-Server nur Anfragen von Systemen aus der eigenen Domain verarbeiten. Leider beantworten viele Server auch Anfragen beliebiger Systeme, was Angreifer für ihre Zwecke einsetzen können. Dazu schicken sie Anfragen mit der gespooften IP-Adresse ihres Opfers an "Open Resolver" – die Antwort kommt beim Opfer an.

DNS Testabdeckungen

Die nachfolgend aufgeführten RFC spezifizieren Tests für DNS.

  • DOMAIN NAMES -CONCEPTS AND FACILITIES - RFC 1035
  • DOMAIN NAMES -IMPLEMENTATION AND SPECIFICATIONRFC - RFC 1034
  • Requirements for Internet Hosts --Application and Support - RFC 1123
  • Incremental Zone Transfer in DNS - RFC 1995
  • A Mechanism for Prompt Notification of Zone Changes (DNS NOTIFY) - RFC 1996
  • Clarifications to the DNS Specification - RFC 2131
  • Negative Caching of DNS Queries (DNS NCACHE)RFC3425Obsoleting IQUERY - RFC 2308

Erweiterungen für DNS

Die hier aufgeführten RFC spezifizieren Erweiterungen für DNS.

  • Extension Mechanisms for DNS (EDNS0) - RFC 2782
  • A DNS RR for specifying the location of services (DNS SRV) - RFC 2671
  • Dynamic Delegation Discovery System (DDDS) Part One: TheComprehensive DDDS - RFC 3401
  • Dynamic Delegation Discovery System (DDDS) Part Two: TheAlgorithm - RFC 3402
  • Dynamic Delegation Discovery System (DDDS) Part Three: The Domain Name System (DNS) Database - RFC 3403
  • Dynamic Delegation Discovery System (DDDS) Part Four: The Uniform Resource Identifiers (URI) Resolution Application - RFC 3404
  • Dynamic Delegation Discovery System (DDDS) Part Five: URI.ARPA Assignment Procedures - RFC 3405
  • DNS Extensions to Support IP Version 6 - RFC 3596
  • Security Introduction and Requirements - RFC 4033
  • Resource Records for the DNS Security Extensions - RFC 4034
  • Protocol Modifications for the DNS Security Extensions - RFC 4035

Suche
tags-stack
Kategorie
calendar-2
Periode