Netzbetreiber sehen Domain Name System durch Attacken zunehmend in Gefahr

Groß angelegte Attacken auf DNS-Server sind in den vergangenen Monaten sprunghaft angestiegen. Angriffe, die die Netze mit Datenraten von 50 bis 100 Gigabit/Sekunde in die Knie zwingen, seien an der Tagesordnung, sagte Paul Vixie, Gründer des Internet Systems Consortium (ISC). Auf dem 65. Treffen der IP-Adressverwaltung RIPE suchte ein Panel "alter DNS-Haudegen" nach Wegen aus der Misere. Kann das Netz sich noch selbst helfen oder ist, wie einer der Administratoren fragte, der Zeitpunkt gekommen, an dem die Techniker ihr Versagen eingestehen und den Gesetzgeber zu Hilfe rufen müssten.

Besondere Sorge bereiten den Netzbetreibern DNS-Amplification-Attacken, deren DNS-Servern besonders große Antworten abgetrotzt werden. Xander Jansen vom niederländischen Netzbetreiber SurfNet, der vor allem Schulen und Universitäten bedient, klagte: "Wir sind auf allen Seiten dabei, als Mittelsmann, Opfer und als Forscher der DNS-Amplifikation-Angriffe." Im vorigen Monat habe SurfNet praktisch permanent mit 10.000 Anfragen pro Sekunde (statt der üblichen 200) fertig werden müssen. Einige Server im eigenen Netz seien vielfach Ziel politischer Attacken und immer wieder würden Kunden einfach aus dem Netz geblasen, weil irgendwelche "Scriptkiddies" es lustig fänden, die massiven Attacken per Knopfdruck los zu treten.

Einfache Software-Kits hätten die DNS-Attacken regelrecht populär gemacht, sagte Vixie. Darin liege der Unterschied zu früher, denn eigentlich seien die Angriffspunkte altbekannt. Wie er im US-Wahlkampf nur zwischen Republikanern und Demokraten entscheiden könne, blieben den Netzbetreibern eben nur TCP/IP und UDP. Ein neues, sichereres Protokoll zu entwickeln ergebe kaum Sinn, denn mit Migrationen tut sich das Netz sehr schwer.

Aus Vixies Sicht könne die internationale Strafverfolgung helfen. Das ISC habe sich mehrfach als Partner der US-Behörden engagiert, zu letzt als Betreiber der DNS-Changer-Server. Opfer von Attacken beziehungsweise die Betreiber der für Attacken missbrauchten Netze lud Vixie ein: "Wer Daten hat und sich an Ermittlungen beteiligen will, in denen mit Echtzeit-Daten die Leute ausgeforscht werden, die das tun, kann mich kontaktieren." Auch ein internationales Abkommen sei wohl sinnvoll, aber natürlich nicht im Stil der aktuell diskutierten International Telecommunication Regulations (ITR), erläuterte Vixie gegenüber heise online.

Andere Teilnehmer der Expertenrunde warnten gerade vor dem Hintergrund der Debatten rund um die ITR, die bei der International Telecommunication Union (ITU) beraten werden, vor dem Ruf nach dem Regulierer. Die Vorstellung, denen in die Hände zu spielen, die alte Telefonieregulierungsregime aufs Internet übertragen wollten, mache ihn nervös. Daher riet er dazu, noch einmal intensiver nach Mechanismen zu suchen, wie die Netzbetreiber das Problem selbst lösen könnten.

Die Internet Engineering Task Force (IETF) hat bereits vor zwölf Jahren ein Best-Practice-Dokument verabschiedet, das unter anderem Empfehlungen enthält, wie der Versand gefälschter Pakete aus dem eigenen Netz verhindert werden kann (BCP 38). Diese einzuhalten könne Geschäftspartnern auferlegt werden, befand Sullivan. Außerdem könnten "gute" Netzbetreiber "böse" dadurch bestrafen, dass sie die Datenraten im Austausch mit ihnen herunterschrauben und im schlimmsten Fall gar nicht mehr entgegennehmen. Olaf Kolkman, Chef von NLnet Labs, gab dabei auch zu bedenken, inwieweit Betreiber gerade dann ins Visier von Regulierung geraten würden, wenn sie in selbst Datenverkehre filterten und veränderten. (anw)