RIPE: Angriffe auf das Domain Name System nehmen zu

30 Millionen offene Resolver im Domain Name System, 200 Prozent mehr Attacken im Jahr 2012 – diese alarmierende Bilanz zogen Administratoren auf dem 66. Treffen der IP-Adressverwaltung RIPE diese Woche in Dublin. In einer Grundsatzdebatte ging es darum, wie schwarze Schafe dazu gebracht werden können, lange überfällige Sicherungen vorzunehmen, bevor durch massive Attacken Regulierer auf den Plan gerufen werden.

Die Empfehlungen, wie gespoofte Adressen verhindert werden können – etwa Aufrufe an Hersteller, dass Geräte in der Standardeinstellung nicht als offene Resolver genutzt werden können und allerlei "Netzhygiene"-Aufrufe auch von RIPE-Mitgliedern – sind bis zu einem Jahrzehnt alt. Aber während Angreifer sich regelmäßig die neueste Technik zunutze machen, hinkt das Netz insgesamt hinterher. "Die haben immer den neuesten Code laufen, wir können unseren Kunden das nicht vorschreiben," sagte Thomas Eberman von Infoblox.

Kostendruck und fehlende Kenntnisse lassen Maßnahmen , die nicht unmittelbar das eigene Unternehmen schützen, weniger attraktiv scheinen – etwa das Ausfiltern gespoofter Adressen oder die Rekonfiguration offenstehender rekursiver Resolver bei den Kunden großer Hoster. Manchen sei das auch einfach egal, berichtete (PDF-Datei) Merike Kaeo. Die Security-Expertin bezweifelte auch Angaben, dass lediglich 20 Prozent der rekursiven Resolver offen seien. Sie schätzt, dass es mehr sind. Auch ein per Tethering ins Netz gehängtes Mobiltelefon könne zum offenen Resolver werden.

Gleich mehrere Registries, darunter VeriSign, die niederländische Registry SIDN, die französische AfNIC oder die ICANN räumen inzwischen ein, dass sie nicht mehr jede Anfrage an ihre autoritativen Server beantworten. Denn darin sehen viele Experten die weitaus größte Gefahr – mächtige DNS-Ressourcen werden gezielt für Attacken missbraucht. Selbst die kryptographische Absicherung von Domains mittels DNSSEC wird ausgenutzt. Mit den Schlüsseln werden die beim Opfer aufschlagenden Antworten gleich mehrere hundertmal so groß wie die über ahnungslose Systeme Dritter oder von billigen Cloud-Servern aus gefälschten Anfragen. Bislang haben bestehende Überkapazitäten das Netz meist vor dem Schlimmsten bewahrt. Nun gehören die Betreiber zentraler Infrastrukturdienste zu denen, die angesichts der wachsenden Angriffszahlen immer lauter mahnen.

Das Filtern gespoofter Adressen sieht Thorsten Dietrich, der für das Bundesamt für Sicherheit in der Informationstechnik (BSI) an der RIPE-Tagung teilnimmt, als kein großes Problem mehr bei deutschen Betreibern. "Ein Ärgernis sind die offenen Resolver bei großen Hostern", sagt er. Darum werde sich das BSI in der kommenden Zeit verstärkt kümmern. Das begrüßt Wilhelm Boeddighaus von Strato, einem der Hoster, die dabei ins Schussfeld kommen können. (anw)