In diesem Beitrag möchten wir erklären, wie eine DNS Amplification Attacke funktioniert.
Eine DNS-Amplification Attacke ist, wie auch die Reflection Angriffe (DRDoS) Attacke, eine beliebte Form eines DDoS, die auf öffentlich zugänglichen DNS-Servern beruht, um ein Opfersystem mit DNS-Antwortverkehr zu überfordern und damit lahm zu legen.
Im Grunde beruht es darauf, dass ein Angreifer eine DNS-Namensabfrage an einen offenen DNS-Server sendet, wobei die Herkunftsadresse als die Adresse des Ziels gefälscht wird. Wenn der DNS-Server die Antwort auf den DNS-Eintrag sendet, wird sie stattdessen an das Opfer, anstatt des anfragenden Angreifers, gesendet. Angreifer werden natürlich eine Anfrage mit so viele Zoneninformationen wie möglich stellen, um den Verstärkungseffekt zu maximieren. Bei den meisten Angriffen dieser Art, sind die vom Angreifer gesendeten gefälschten Anfragen vom Typ “ANY”, der alle bekannten Informationen über eine DNS-Zone in einer einzigen Anfrage zurückgibt.
Da die Größe der Antwort beträchtlich größer ist als die der Anfrage, ist der Angreifer in der Lage, die Menge des an das Opfer gerichteten Datenverkehrs zu erhöhen. Indem er ein Botnet nutzt, um eine große Anzahl von gefälschten DNS-Anfragen zu produzieren, kann ein Angreifer mit wenig Aufwand eine immense Menge an Traffic erzeugen. Da es sich bei den Antworten um legitime Daten handelt, die von gültigen Servern stammen, ist es zudem extrem schwierig, diese Art von Angriffen zu verhindern. Während die Angriffe schwer zu stoppen sind, können Netzwerkbetreiber mehrere mögliche Mitigationsstrategien anwenden.
Als Lösung für DNS-Server-Betreiber ist die Verwendung von Response Rate Limiting, um die Menge des Datenverkehrs zu begrenzen und die Anfragen pro Nutzer oder insgesamt zu limitieren.
Das einzige effektive Mittel, um die Attacken bestmöglich zu unterbinden, ist die Beseitigung von ungesicherten DNS-Resolvern, was jedoch einen umfangreichen Aufwand von verschiedenen Anbietern erfordert. Von ca. 27 Millionen bekannten DNS-Resolvern im Internet, sind etwa 25 Millionen eine signifikante Bedrohung, und könnten für einen Angriff verwendet werden.
Quellen: