DNS-Attacken: Denic schließt das Kappen von DNS-Antwortraten nicht aus
Weil sich immer mehr Angriffe zentrale Systeme im Domain Name System zu Nutze machen, behält es sich die Denic vor, die Zahl der Antworten auf .de-Domainanfragen zu kappen. Noch wolle man aber eigene Erkenntnisse sammeln.
Angesichts grassierender Angriffe, die sich zentrale Systeme im Domain Name System (DNS) zu Nutze machen, ist es auch für die Denic kein Tabu mehr, die Zahl der Antworten auf .de-Domainanfragen zu kappen. "Wir behalten uns vor, in Einzelfällen über begrenzte Zeit Response Rate Limiting (RRL) zum Schutz unserer Infrastruktur einzusetzen", bestätigte die Registrierstelle für .de-Domains in einer Antwort an heise online. Zwar greifen Registries vermehrt zu dieser Maßnahme, die Effekte werden allerdings heftig diskutiert. Denn ein "Filtern" auf zentralen Servern gilt vielen als fundamentale Abkehr vom DNS-Credo, nach dem jede Anfrage ohne Unterschied beantwortet werden muss.
Wie viele Registries habe auch die Denic in den vergangenen Monaten an einzelnen Nameserverstandorten und zu bestimmten Zeiten erhöhten Datenverkehr beobachtet, der auf eine so genannte Amplification-Attacke schließen lasse. Bei solchen Angriffen wird das System der de-Nameserver ausgenutzt, um eine große Zahl von Antworten an die Adresse eines Opfers auszulösen. Letztlich werden die de-Kapazitäten für Angriffe missbraucht und im schlimmsten Falls selbst an den Rand der Leistungsfähigkeit gebracht.
Aktuell ließen sich zwar noch keine Muster ableiten, schreibt die Denic. Man beobachte die Vorgänge aber aufmerksam und habe vorsorglich auch "die einschlägigen Werkzeuge und Vorgehensweisen geprüft". Ziel sei es zunächst, eigene Erkenntnisse zu sammeln und zu analysieren.
Zu den offenen Fragen beim Einsatz von RRL gehören so genannte "false positives", also legitime Anfragen, die nicht mehr beantwortet werden. Für den Nutzer, dessen normale Anfrage nicht mehr beantwortet wird, ist erst einmal nicht transparent, was "kaputt" ist im Netz. Aus Sicht der Experten ist dabei nicht zuletzt ungeklärt, warum sich die verschiedenen DNS-Server – von BIND über NSD bis zu KnotDNS – unterschiedlich verhalten.
Es sei noch zu früh, um eine fundierte und informierte Diskussion zu führen, heißt es auch bei der Denic. "Im derzeitigen Stadium sind wir bestrebt, zunächst eigene Erkenntnisse zu sammeln, zu analysieren", so Pressesprecherin Stefanie Welters. Und in der überaus vorsichtig formulierten Antwort versichert man, vorerst "Handlungsoptionen zu prüfen" und zwar "stets unter der Prämisse, den laufenden Betrieb sicherzustellen, möglichst diskriminierungsfrei zu handeln und trotzdem die Einbeziehung unserer Systeme in solche Angriffe nicht über einen längeren Zeitraum hinweg zu ermöglichen."
Weder RRL noch die klassische Antwort, den Verkehr durch immer weiter ausgebaute und überprovisioniere Systeme auszusitzen, sind eine echte Lösung, warnte beim Treffen des Domain Name Systems Operation and Analysis Research Center (OARC), Ed Lewis vom .us- und .biz-Betreiber Neustar. Lewis forderte vielmehr, endlich eine Überarbeitung des DNS-Protokoll anzugehen. Unter anderem schlug er vor, große Antworten nur noch als TCP-Pakete in Empfang zu nehmen oder intensiver über Dinge wie Trust-Cookies nachzudenken. Weit weniger vorsichtig als die Denic empfahl Lewis: "Wir können Datenverkehr auch ausfiltern, wenn wir entscheiden, dass er bösartig ist. Es ist unser Netz, wir können machen, was wir wollen und müssen nicht einfach alles hinnehmen, was kommt." (mho)