Europäische IP-Registry gründet Taskforce gegen Spoofing

Wegen der vor Kurzem gestarteten Welle von "Spoofing"- und "Amplification"-Angriffen auf DNS-Server hat man sich bei der europäischen Registry für IP-Adressen (Réseaux IP Européens, RIPE) entschlossen, eine Anti-Spoofing-Taskforce einzurichten. RIPE-Cheftechnologe Daniel Karrenberg sagte beim RIPE-Treffen in Istanbul, dass die DNS-Angriffe weiter andauern. Daher wolle man mit der Task Force für die möglichen Gegenmaßnahmen werben, vor allem den Einsatz von Filtern, die gespoofte IP-Pakete filtern (BCP 38/RFC 2827).

Als zweite wichtige Maßnahme gegen die Attacken nannte Matsuzaki Yoshinobu vom japanischen Provider Internet Initiative Japan auch noch einmal den Stopp rekursiver DNS-Anfragen über die Resolver von Providern (PDF-Datei). Die Angriffe, bei denen über gespoofte IP-Adressen große DNS-Anfragen evoziert und an Root-Server sowie Toplevel-Domainserver gesandt wurden, sorgen seit einiger Zeit für Aufsehen unter DNS-Experten.

Ziel der Taskforce, deren straffen Zeitplan Karrenberg nun in Istanbul vorstellte, ist es, das Problembewusstsein der Netzadministratoren zu schärfen und die Gegenmaßnahme "Network Ingress Filtering" zu erklären. Als besonders wichtig könnte sich der Ansatz erweisen, nach möglichen Anreizen für die Administratoren zu forschen, die Filter dann auch einzusetzen: Erst einmal sei mit der Einrichtung der Filter kein zusätzlicher Umsatz verbunden, sondern es entstünden – wenn auch überschaubare – Mehrkosten, meinte Karrenberg. Trotzdem könne man profitieren; immerhin müsse dann nicht mit den Problemen gekämpft werden, wenn ein Angriff vom eigenen Netz ausgehe und sich das Opfer entsprechend abschotten kann.

Ein Netzadministrator bezeichnete es in diesem Zusammenhang gegenüber heise online als Grundsatzproblem, dass für den einzelnen Provider günstig sei, was dem Netz insgesamt schadet. "Jeder macht also, was er beim Anderen nicht sehen will." So müssten bei Einsatz des Ingress Filtering Anpassungen etwa für mobile Anwendungen gemacht werden. Andererseits helfe es schon, wenn alle Anderen durch das Filtern für eine Verringerung der Attacken sorgen. Auch beim RIPE-Treffen kam immerhin eine kritische Nachfrage von einem Vertreter der Telekom, der die Effektivität der in den einschlägigen IETF-Dokumenten vorgeschlagenen Filtermaßnahmen hinterfragte. Es sei entscheidend, ob die Maßnahmen 85 Prozent oder 10 Prozent des Problems beheben. Statistiken zur Effektivität seien daher auf jeden Fall notwendig.

Analysen von Spoofing in der RIPE-Region stehen in der Tat auf der Agenda der Antispoofing-Taskforce, die bis zum nächsten RIPE Treffen eine Empfehlung für Provider und Netzwerkadministratoren formulieren soll. Auch einen ersten Entwurf einer "Wie wirds gemacht"-Anleitung fürs Ingress Filtering will man vorbereiten. Den Abschluss der Taskforce plant Karrenberg für das RIPE Treffen 54, dann soll auch ein Anreizsystem stehen.

Zu den aktuellen Angriffen auf DNS-Server siehe auch:

• DoS-Angriffe beunruhigen Betreiber von DNS-Nameservern
• Zusammenfassung zu DNS Amplification Attacks auf heise Security

(Monika Ermert) / (jk)