ICANN veröffentlicht Bericht zu DNS-Attacken
ICANN hat einen Bericht zu den jüngsten Attacken auf DNS-Rootserver veröffentlicht und erste Konsequenzen angekündigt. Die Urheber des Angriffs bleiben weiter im Dunkeln.
Alle zentralen Rootname Server sollen Anfragen schon bald über ein System von Anycast-Servern beantworten. Damit lassen sich die Effekte von Angriffe wie die Distributed Denial of Service Attacke (DDoS) im Februar mindern. Diesen Schluss zieht die Internet Corporation for Assigned Names and Numbers (ICANN) in einem Bericht zu der jüngsten Attacke, bei der vom US-Verteidigungsministerium in Ohio (G) und der von ICANN selbst in Kalifornien betriebene Rootserver (L) zeitweilig ausgefallen waren.
Laut ICANN-Bericht gab es zwei Angriffswellen. Die erste startete nachts um 01:00 Uhr mitteleuropäischer Zeit, die zweite, die fünf Stunden angedauert habe, einige Stunden später. Obwohl Internetnutzer praktisch nichts von der Attacke gemerkt hätten, stellt der Bericht diese den Angriffen aus dem Jahr 2002 gleich. Damals waren 9 der 13 Rootserver zeitweilig ausgefallen. Die erhöhte Widerstandskraft des DNS beim aktuellen Angriff resultiert laut dem Bericht auch aus der Verbreitung des Anycast-Systems, das für eine Verteilung (load balancing) des Datenverkehrs sorge.
Damit wird auch erklärt, warum es gerade den ICANN-Server und den des US-Verteidigungsministeriums getroffen hat – beide arbeiten nach wie vor ohne Anycast. Nicht alle Rootserver-Betreiber hätten Anycast sofort eingeführt, so heißt es im Bericht weiter, da es zu Beginn Sicherheitsbedenken gegen die Verbreitung der Anycast-Instanzen gegeben habe. Nachdem sich Anycast aber inzwischen insgesamt als positiv erwiesen habe, würden auch die Rootserver D, E, G, H und L diese Technik bald einführen.
Zur Identität und den Motiven der Angreifer gibt es auch in diesem Bericht keine neuen Erkenntnisse. Der in koreanischen Medien berichtete Fingerzeig nach Deutschland hat die ICANN-Experten offenbar nicht weitergebracht. "Tatsächlich sind die Ingenieure ziemlich sicher, dass der Angriff aus dem Bereich Asien-Pazifik kam", heißt es im Bericht. "Aber selbst wenn das so ist, heißt es nicht, dass derjenige, der dahintersteckt, tatsächlich auch von dort stammt. Denn sie könnten die Angriffe von überall im Netz angestoßen haben, also auch von überall in der Welt". Das Motiv könne dabei eine "Werbekampagne" für die Kapazität des eigenen Botnetzes sein, so ICANN.
Dieses Szenario hält Hans-Peter Dittler, Geschäftsführer der Braintec-Consult und langjähriges Vorstandsmitglied der deutschen Internet Society (ISOC), für gar nicht so unrealistisch. Um echten Schaden anzurichten, sei der Angriff nämlich deutlich zu einfach gewesen. Dass man den Angreifer noch aufspüren kann, hält Dittler für unwahrscheinlich. "Politiker und Strafverfolger und alle anderen müssen begreifen, dass die Zurückverfolgung einer solchen Attacke im Nachhinein praktisch unmöglich ist", erklärte Dittler. Denn die Angreifer bedienen sich nicht nur der Botnetze, sondern verschleiern die Attacken hinter mehreren Ebenen dazwischengeschalteter, manipulierter Server. Die Spur zur eigentlichen Quelle werde dabei in der Regel verwischt, bevor die Verfolger dort angekommen seien, so Dittlers Einschätzung. Auch die Vorratsdatenspeicherung hilft da nichts, nicht einmal, wenn sie neben den Verkehrsdaten jede einzelne Datenbewegung im Netz aufzeichnen würde.
So bleiben den DNS-Betreibern im Ernstfall der Attacke vorerst vor allem zwei Möglichkeiten: Entweder müssen die Server alle ankommenden Pakete eben brav "aufsaugen" und sich dafür zusätzliche Kapazitäten sichern, oder sie müssen die "schlechten" Datenpakete aussortieren. Bei der jüngsten Attacke wurden so alle Pakete, die größer als 512 Byte groß sind, einfach herausgefiltert. (Monika Ermert) / (vbr)
