DNS-Amplification ist ein DDoS-Angriff, bei dem DNS-Resolver eingesetzt werden, um ein Opfer mit Traffic zu überfluten.
Nach Lektüre dieses Artikels können Sie Folgendes:
Ähnliche Inhalte
DDoS-Abwehr
So funktioniert DDoS | DoS und DDoS-Angriffstools
Was ist ein Denial-of-Service-Angriff?
Botnetz – was ist das?
Was ist IP-Spoofing?
Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!
Link zum Artikel kopieren
Dieser DDoS-Angriff ist ein Reflection-basierter volumetrischer verteilter Denial-of-Service-(DDoS)-Angriff, bei dem ein Angreifer die Funktionalität von offenen DNS-Resolvern einsetzt, um einen Zielserver oder ein Zielnetzwerk mit einer verstärkten Traffic-Menge zu überfluten und den Zugriff auf den Server und seine umgebende Infrastruktur unmöglich zu machen.
Alle Amplification-Angriffe nutzen ein Missverhältnis im Bandbreitenverbrauch zwischen einem Angreifer und der angegriffenen Webressource aus. Wenn das Missverhältnis durch viele Anfragen verstärkt wird, kann das resultierende Traffic-Volumen die Netzwerkinfrastruktur stören. Wenn kleine Abfragen gesendet werden, die zu großen Antworten führen, kann der böswillige Benutzer aus weniger mehr erhalten. Wenn diese Verstärkung dadurch vervielfältigt wird, dass jeder Bot in einem Botnetz ähnliche Anfragen vornimmt, wird der Angreifer einerseits vor Erkennung geschützt und profitiert andererseits von den Vorteilen eines stark erhöhten Angriffs-Traffics.
Ein einzelner Bot bei einer DNS Amplification Attack kann mit einem böswilligen Teenager verglichen werden, der ein Restaurant anruft und sagt: „Ich möchte von jedem etwas. Bitte rufen Sie mich zurück und nennen Sie mir die gesamte Bestellung.“ Wenn das Restaurant nach einer Rückrufnummer fragt, wird die Telefonnummer des Opfers angegeben. Das Opfer erhält dann einen Anruf vom Restaurant mit vielen Informationen, die es nicht angefragt hat.
Nachdem jeder Bot mit einer gespooften IP-Adresse, die in die IP-Adresse der echten Quelle des Opfers geändert wurde, Anfragen gestellt hat, DNS-Resolver zu öffnen, erhält das Opfer eine Antwort von den DNS-Resolvern. Um eine große Menge an Traffic zu erzeugen, strukturiert der Angreifer die Anfrage so, dass sie eine Antwort von den DNS-Resolvern erzeugt, die so groß wie möglich ist. Infolgedessen empfängt das Opfer den ursprünglichen Traffic des Angreifers in verstärkter Form, sein Netzwerk wird mit dem falschen Traffic verstopft, und es wird eine Dienstverweigerung (Denial-of-Service) verursacht.
DNS-Amplification kann in vier Schritte unterteilt werden:
Einige wenige Anfragen sind zwar nicht genug, um eine Netzwerkinfrastruktur zum Ausfall zu bringen, aber wenn diese Sequenz über vielfache Anfragen und DNS-Resolver hinweg multipliziert wird, kann die verstärkte Datenmenge, die das Ziel empfängt, beträchtlich sein. Erkunden Sie weitere technische Details zu Reflection-Angriffen.
Für Einzelpersonen oder Unternehmen, die eine Website oder einen Dienst betreiben, gibt es nur beschränkte Optionen zur Bekämpfung. Das liegt daran, dass der Server der Einzelperson - auch wenn er eventuell das Ziel sein kann - nicht der Punkt ist, an dem man die Hauptwirkung eines volumetrischen Angriffs bemerkt. Aufgrund der großen erzeugten Traffic-Menge spürt die den Server umgebende Infrastruktur die Auswirkungen. Der Internet-Serviceprovider (ISP) oder andere Provider von Upstream-Infrastrukturen sind eventuell nicht in der Lage, den eintreffenden Traffic zu verarbeiten, ohne überlastet zu werden. Infolgedessen verwirft der ISP eventuell allen Traffic an die IP-Adresse des Opfers, schützt sich selbst und nimmt die Website des Opfers offline. Bei Abwehrstrategien handelt es sich abgesehen von Offsite-Schutzdiensten wie Cloudflares DDoS-Schutz meistens um vorbeugende Internet-Infrastrukturlösungen.
Reduzieren Sie die Gesamtanzahl offener DNS-Resolver
Eine grundlegende Komponente von DNS-Amplification-Angriffen ist der Zugriff auf offene DNS-Resolver. Wenn schlecht konfigurierte DNS-Resolver dem Internet verfügbar gemacht werden, muss ein Angreifer lediglich einen DNS-Resolver entdecken, um ihn benutzen zu können. Im Idealfall sollten DNS-Resolver ihre Dienste nur Geräten zur Verfügung stellen, die ihren Ursprung innerhalb einer vertrauenswürdigen Domain haben. Im Fall von Reflection-basierten Angriffen antworten die offenen DNS-Resolver auf Abfragen von überall im Internet und lassen möglichen Missbrauch zu. Wenn ein DNS-Resolver so eingeschränkt wird, dass er nur auf Abfragen von vertrauenswürdigen Quellen antwortet, wird der Server zu einem schlechten Vehikel für jeden Amplification-Angriffstyp.
Überprüfung der Quell-IP: Stoppen Sie gespoofte Pakete, die das Netzwerk verlassen
Da die UDP-Anfragen, die vom Botnetz des Angreifers gesendet werden, eine Quell-IP-Adresse haben müssen, die die gespoofte IP-Adresse des Opfers ist, besteht eine Schlüsselkomponente zur Reduzierung der Effektivität von UDP-basierten Amplification-Angriffen darin, dass Internet-Serviceprovider (ISPs) allen internen Traffic mit gespooften IP-Adressen verwerfen. Wenn ein Paket von innerhalb des Netzwerks mit einer Quelladresse gesendet wird, die den Anschein erweckt, dass es seinen Ursprung außerhalb des Netzwerks hat, handelt es sich dabei wahrscheinlich um ein gespooftes Paket, das verworfen werden kann. Cloudflare empfiehlt dringend, dass alle Provider eine Filterung des eingehenden Traffics implementieren, und wird von Zeit zu Zeit ISPs kontaktieren, die ohne es zu wissen an DDoS-Angriffen beteiligt sind, und ihnen helfen, ihre Anfälligkeit für Angriffe zu verstehen.
Mit einer richtig konfigurierten Firewall und genügend Netzwerkkapazität (was nicht immer leicht zu erreichen ist, wenn Sie nicht die Größe von Cloudflare haben), ist es einfach, Reflection-Angriffe wie DNS Amplification Attacks zu blockieren. Obwohl der Angriff auf eine einzelne IP-Adresse abzielt, zerstreut unser Anycast-Netzwerk den gesamten Angriffs-Traffic, bis er keine störende Wirkung mehr hat. Als Cloudflare können wir unseren Größenvorteil einsetzen, um die Angriffslast des Angriffs über viele Rechenzentren zu verteilen. Die Last kann so ausgeglichen werden, dass der Dienst zu keiner Zeit unterbrochen wird und der Angriff die Infrastruktur des angegriffenen Servers nie überflutet. Während eines kürzlichen sechsmonatigen Zeitraums erkannte unser DDoS-Abwehrsystem „Gatebot“ 6.329 einfache Reflection-Angriffe (das ist ein Angriff alle 40 Minuten), und das Netzwerk bekämpfte alle von ihnen erfolgreich. Erfahren Sie mehr über Cloudflares erweiterten DDoS-Schutz.