DNS Amplification Attacks

Die Sicherheitsspezialisten Gadi Evron und Randal Vaughn beschreiben in ihrer Studie "DNS Amplification Attacks" eine neue Art von DDoS-Angriffen, bei der falsch konfigurierte Nameserver missbraucht werden. Viele Nameserver arbeiten mit rekursiver Auflösung, bei der sich der Server so lange durchfragt, bis er einen anderen Nameserver gefunden, der für eine gefragte Domain zuständig ist. Normalerweise sollte ein rekursiv arbeitender Nameserver nur Anfragen von Clients aus der eigenen Domain verarbeiten. Leider beantworten viele Server auch Anfragen beliebiger Clients, was Angreifer für ihre Zwecke einsetzen können. Dazu schicken sie Anfragen mit der gespooften IP-Adresse ihres Opfers an "Open Resolver" – die Antwort kommt beim Opfer an. Für die DDoS-Attacke machen sich die Angreifer zunutze, dass ein einzelner Request mit 60 Bytes eine Antwort mit 512 Bytes zur Folge haben kann. Neuere DNS-Implementierungen unterstützen Extension Mechanism for DNS (EDN), mit der eine Antwort sogar über 4000 Bytes groß sein kann. Der in diesem Zusammenhang oft genannte Verstärkungsfaktor liegt damit bei über 60. Somit genügen für eine DDoS-Attacke wenige Open Resolver und eine überschaubare Zahl von Anfragen pro Zeit, um einen Server oder ein Netz lahm zu legen. Die Studie zeigt anhand einiger Beispiele, wie solch ein Angriff aussehen kann.

Randy Vaughn and Gadi Evron: DNS Amplification Attacks (dab)