DNS-Amplification-Angriff

DNS-Amplification ist ein DDoS-Angriff, bei dem DNS-Resolver eingesetzt werden, um ein Opfer mit Traffic zu überfluten.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Einen DNS-Amplification-Angriff definieren
  • Den Ablauf eines DNS-Amplification-Angriffs erklären
  • Mehrere Bekämpfungsstrategien für DNS-Amplification-Angriffe verstehen

Link zum Artikel kopieren

Was ist eine DNS Amplification Attack?

Dieser DDoS-Angriff ist ein Reflection-basierter volumetrischer verteilter Denial-of-Service-(DDoS)-Angriff, bei dem ein Angreifer die Funktionalität von offenen DNS-Resolvern einsetzt, um einen Zielserver oder ein Zielnetzwerk mit einer verstärkten Traffic-Menge zu überfluten und den Zugriff auf den Server und seine umgebende Infrastruktur unmöglich zu machen.

Wie läuft eine DNS Amplification Attack ab?

Alle Amplification-Angriffe nutzen ein Missverhältnis im Bandbreitenverbrauch zwischen einem Angreifer und der angegriffenen Webressource aus. Wenn das Missverhältnis durch viele Anfragen verstärkt wird, kann das resultierende Traffic-Volumen die Netzwerkinfrastruktur stören. Wenn kleine Abfragen gesendet werden, die zu großen Antworten führen, kann der böswillige Nutzer aus weniger mehr erhalten. Wenn diese Verstärkung dadurch vervielfältigt wird, dass jeder Bot in einem Botnetz ähnliche Anfragen vornimmt, wird der Angreifer einerseits vor Erkennung geschützt und profitiert andererseits von den Vorteilen eines stark erhöhten Angriffs-Traffics.


Ein einzelner Bot bei einer DNS Amplification Attack kann mit einem böswilligen Teenager verglichen werden, der ein Restaurant anruft und sagt: „Ich möchte von jedem etwas. Bitte rufen Sie mich zurück und nennen Sie mir die gesamte Bestellung.“ Wenn das Restaurant nach einer Rückrufnummer fragt, wird die Telefonnummer des Opfers angegeben. Das Opfer erhält dann einen Anruf vom Restaurant mit vielen Informationen, die es nicht angefragt hat.


Nachdem jeder Bot mit einer gespooften IP-Adresse, die in die IP-Adresse der echten Quelle des Opfers geändert wurde, Anfragen gestellt hat, DNS-Resolver zu öffnen, erhält das Opfer eine Antwort von den DNS-Resolvern. Um eine große Menge an Traffic zu erzeugen, strukturiert der Angreifer die Anfrage so, dass sie eine Antwort von den DNS-Resolvern erzeugt, die so groß wie möglich ist. Infolgedessen empfängt das Opfer den ursprünglichen Traffic des Angreifers in verstärkter Form, sein Netzwerk wird mit dem falschen Traffic verstopft, und es wird eine Dienstverweigerung (Denial-of-Service) verursacht.

Diagramm DNS Amplification Attack DDos-Angriff

DNS-Amplification kann in vier Schritte unterteilt werden:

  1. Der Angreifer verwendet einen kompromittierten Endpunkt, um UDP-Pakete mit gespooften IP-Adressen an einen DNS-Recursor zu senden. Die gespoofte Adresse an den Paketen weist zur echten IP-Adresse des Opfers.
  2. Jedes der UDP-Pakete stellt eine Anfrage an einen DNS-Resolver und setzt dabei oft ein Argument wie „ANY“ ein, um die größtmögliche Antwort zu erhalten.
  3. Nach Empfang der Anfrage sendet der DNS-Resolver, der versucht, hilfreich zu sein, eine große Antwort an die gespoofte IP-Adresse.
  4. Die IP-Adresse des Opfers empfängt die Antwort, und die umgebende Netzwerkinfrastruktur wird mit Traffic überflutet, wodurch ein Denial-of-Service verursacht wird.

Einige wenige Anfragen sind zwar nicht genug, um eine Netzwerkinfrastruktur zum Ausfall zu bringen, aber wenn diese Sequenz über vielfache Anfragen und DNS-Resolver hinweg multipliziert wird, kann die verstärkte Datenmenge, die das Ziel empfängt, beträchtlich sein. Erkunden Sie weitere technische Details zu Reflection-Angriffen.

Wie wird eine DNS Amplification Attack bekämpft?

Für Einzelpersonen oder Unternehmen, die eine Website oder einen Dienst betreiben, gibt es nur beschränkte Optionen zur Bekämpfung. Das liegt daran, dass der Server der Einzelperson - auch wenn er eventuell das Ziel sein kann - nicht der Punkt ist, an dem man die Hauptwirkung eines volumetrischen Angriffs bemerkt. Aufgrund der großen erzeugten Traffic-Menge spürt die den Server umgebende Infrastruktur die Auswirkungen. Der Internetprovider (ISP) oder andere Provider von Upstream-Infrastrukturen sind eventuell nicht in der Lage, den eintreffenden Traffic zu verarbeiten, ohne überlastet zu werden. Infolgedessen verwirft der ISP eventuell allen Traffic an die IP-Adresse des Opfers, schützt sich selbst und nimmt die Website des Opfers offline. Bei Bekämpfungsstrategien handelt es sich abgesehen von Offsite-Schutzdiensten wie Cloudflares DDoS-Schutz meistens um vorbeugende Internet-Infrastrukturlösungen.

Reduzieren Sie die Gesamtanzahl offener DNS-Resolver

Eine grundlegende Komponente von DNS-Amplification-Angriffen ist der Zugriff auf offene DNS-Resolver. Wenn schlecht konfigurierte DNS-Resolver dem Internet verfügbar gemacht werden, muss ein Angreifer lediglich einen DNS-Resolver entdecken, um ihn benutzen zu können. Im Idealfall sollten DNS-Resolver ihre Dienste nur Geräten zur Verfügung stellen, die ihren Ursprung innerhalb einer vertrauenswürdigen Domain haben. Im Fall von Reflection-basierten Angriffen antworten die offenen DNS-Resolver auf Abfragen von überall im Internet und lassen möglichen Missbrauch zu. Wenn ein DNS-Resolver so eingeschränkt wird, dass er nur auf Abfragen von vertrauenswürdigen Quellen antwortet, wird der Server zu einem schlechten Vehikel für jeden Amplification-Angriffstyp.

Überprüfung der Quell-IP: Stoppen Sie gespoofte Pakete, die das Netzwerk verlassen

Da die UDP-Anfragen, die vom Botnetz des Angreifers gesendet werden, eine Quell-IP-Adresse haben müssen, welche die gespoofte IP-Adresse des Opfers ist, besteht eine Schlüsselkomponente zur Reduzierung der Effektivität von UDP-basierten Amplification-Angriffen darin, dass Internetprovider (ISPs) allen internen Traffic mit gespooften IP-Adressen verwerfen. Wenn ein Paket von innerhalb des Netzwerks mit einer Quelladresse gesendet wird, die den Anschein erweckt, dass es seinen Ursprung außerhalb des Netzwerks hat, handelt es sich dabei wahrscheinlich um ein gespooftes Paket, das verworfen werden kann. Cloudflare empfiehlt dringend, dass alle Provider eine Filterung des eingehenden Traffics implementieren, und wird von Zeit zu Zeit ISPs kontaktieren, die ohne es zu wissen an DDoS-Angriffen beteiligt sind, und ihnen helfen, ihre Anfälligkeit für Angriffe zu verstehen.

Wie bekämpft Cloudflare DNS Amplification Attacks?

Mit einer richtig konfigurierten Firewall und genügend Netzwerkkapazität (was nicht immer leicht zu erreichen ist, wenn Sie nicht die Größe von Cloudflare haben), ist es einfach, Reflection-Angriffe wie DNS Amplification Attacks zu blockieren. Obwohl der Angriff auf eine einzelne IP-Adresse abzielt, zerstreut unser Anycast-Netzwerk den gesamten Angriffs-Traffic, bis er keine störende Wirkung mehr hat. Als Cloudflare können wir unseren Größenvorteil einsetzen, um die Angriffslast des Angriffs über viele Rechenzentren zu verteilen. Die Last kann so ausgeglichen werden, dass der Dienst zu keiner Zeit unterbrochen wird und der Angriff die Infrastruktur des angegriffenen Servers nie überflutet. Während eines kürzlichen sechsmonatigen Zeitraums erkannte unser DDoS-Abwehrsystem „Gatebot“ 6.329 einfache Reflection-Angriffe (das ist ein Angriff alle 40 Minuten), und das Netzwerk bekämpfte alle von ihnen erfolgreich. Erfahren Sie mehr über Cloudflares erweiterten DDoS-Schutz.