DoS-Angriffe beunruhigen Betreiber von DNS-Nameservern
Über Botnetze initiierte DNS-Angriffe beeinträchtigten Root-Server der NASA und des US-Verteidigungsministeriums. Das Internet Systems Consortium fordert, längst bekannte Abhilfemaßnahmen umzusetzen.
Mehrere Angriffe auf die Nameserver einer Top Level Domain (TLD) und einzelne Rootname-Server haben Anfang Februar für Aufregung unter Betreibern von DNS-Nameservern gesorgt. Die erst durch eine Reihe technischer Reports öffentlich gewordenen Angriffe legten am 15. Februar den bei der NASA angesiedelten E-Root-Server lahm, beeinträchtigten den Server des US Department of Defense und waren auch auf dem F-Root-Server der BIND-Schmiede ISC (Internet Systems Consortium) deutlich erkennbar. Nameserver bei einer nicht genannten TLD-Registry gingen ebenfalls in die Knie. Der ankommende Datenverkehr stieg laut eines Berichts (PDF-Datei) des Security and Stability Advisory Committee (SSAC) der Internet Corporation for Assigned Names and Numbers (ICANN) zeitweilig auf 2 bis 8 GByte/s.
Die Angreifer nutzen Botnetze, die spezielle Anfragen mit der (gefälschten) Absenderadresse ihrer Opfer an offene, rekursive Server schicken; das Opfer bekommt dann die Antworten ab. Indem nach großen TXT-Records gefragt wird, sind die Antwortpakete größer als die Anfragen – es tritt eine Verstärkung auf. Die Ursache des Problems sind offene DNS-Server, die Anfragen von beliebigen Clients beantworten. Dies ist die Default-Einstellung vieler Name-Server, unter anderem von Bind, und stammt noch aus der Zeit der kooperativen Nutzung des Internets. Eigentlich, meint Suzanne Wolf von der BIND-Schmiede ISC, sei die Einstellung "open recursive" kein Bug, sondern eine seit Jahren in BIND vorhandene Standardeinstellung. In der nächsten BIND-Version 9.4.0 soll dies jedoch geändert werden. Details des Angriffsszenarios beschreibt ein Paper von Gadi Evron und Randal Vaughn.
Woher die Attacken kamen, sei nach wie vor unklar, teilte ISC-Gründer und F-Root-Serverbetreiber Paul Vixie auf Anfrage von heise online mit. Vixie richtete einen "Appell an die Welt", das Verfahren BCP 38 (Best Current Practice 38) zu implementieren, das er in einem eigenen Dokument nochmals zusammengefasst habe. Er fordert darin, dass die Provider an den Grenzen ihrer Netze Pakete mit offensichtlich gefälschten Adressen ausfiltern. Diese sinnvolle Forderung steht seit Jahren im Raum, wird aber immer noch von zu wenig Providern umgesetzt.
"Beim nächsten RIPE-Treffen soll auch noch einmal kräftig die Werbetrommel für BCP 38 gerührt werden", kündigte Peter Koch, DNS-Experte des Denic an. Koch hatte die Angriffe beim technischen Meeting des Denic analysiert. Auch der SSAC-Bericht bezeichnet die Verifizierung der IP-Adressen als den besten Weg, um DoS-Attacken zu erschweren. Das SSAC forderte zugleich die Betreiber von Rootservern sowie von Nameservern von Top Level Domains auf, Schutzmaßnahmen zu ergreifen und zu dokumentieren. IP-Adressen, die blockiert wurden, um die Datenflut zu stoppen, rasch wieder zu entsperren, sobald der entsprechende Betreiber sein Netz abgesichert hat.
Siehe dazu auch:
- Zusammenfassung zu DNS Amplification Attacks auf heise Security
(Monika Ermert) / (ssu)
