DNS-Amplification-Attacke und das Problem offener Resolver

Das Content Delivery Network CloudFlare hatte es erneut mit DDoS-Angriffen zu tun, die als DNS-Amplification-Attacks daherkamen. 20 GB parasitärer Traffic pro Sekunde sind durchaus in der Lage, einen soliden Web-Knoten zu zerschmettern, doch unter Verwendung von Schutztechnologien konnte das umfassende Proxy-Netz diesen schier endlosen Strom problemlos verarbeiten, und zwar ohne dass dabei Probleme mit der Erreichbarkeit auftraten. Daher wurde beschlossen, die laufende Attacke zu beobachten, um auf diese Weise Daten zu sammeln und die Quellen des aggressiven DNS-Traffics zu lokalisieren.

Ein gewöhnliches Botnetz ist in der Lage, DDoS-Traffic mit einer Leistung von etwa 100 МBit/Sek. zu generieren. Für einige Sites mag das ausreichend sein, damit sie zusammenzubrechen, doch insgesamt kann man solche Belastungen in Bezug auf DDoS-Attacken nicht wirklich bedrohlich nennen. DDoSer erhöhen die Leistungsstärke der Angriffe mittels einer „Vervielfältigungs-Technik“ des DDoS-Traffics, die die Verwendung von zusätzlichen Netzwerkgeräten vorsieht, die als Vermittler agieren. Ein solches Trampolin funktioniert nur unter den folgenden Bedingungen:

  • Der Mechanismus lässt eine Fälschung der Anfragequelle zu (d.h. die Quelle wird nicht überprüft);
  • Die Antwort sollte den Umfang der Anfrage deutlich übersteigen.

Die erste Spielart von DNS Amplification-Attacks waren SMURF-Attacken, die das ICMP-Protokoll nutzen. Als Mittler dient hier ein Router eines lokalen Broadcast-Netzes, dessen Konfiguration es ermöglicht, Ping-Anfragen, die an eine äußere Adresse gerichtet sind, an alle Teilnehmer des Netzes zu senden. Das ICMP-Protokoll funktioniert nach dem Prinzip „fire and forget“, also „versenden und vergessen“, ohne dass sich Sender und Empfänger identifizieren müssen. Wenn im Header des Pakets die Quelle des Echo-Requests durch die Adresse des Opfers ersetzt, und sie an die Broadcast-Adresse gesendet wird, so treffen alle Antworten der zu dem Router gehörenden Geräte mit einem Schlag ins Ziel. Die Durchschlagskraft des Traffics hängt von der Zahl der Teilnehmer des Broadcast-Netzes ab, die an den Router angeschlossen sind.

Mit der Zeit ging die Zahl der SMURF-Attacken gegen Null: Die Router begannen den ICMP Echo-Reply zu blockieren oder den ICMP Echo-Request zu ignorieren. Die Cyberkriminellen verlegten sich auf eine andere Plattform, die ebenfalls die genannten Kriterien erfüllte, und zwar DNS. DNS-Anfragen werden über das Protokoll UDP gesendet, das den Absender ebenfalls nicht überprüft und daher auch nicht vor Missbrauch gefeit ist. Als Hebel, der die Durchschlagskraft des DDoS-Schlages verstärkt, dienen hier offene Resolver – schlecht konfigurierte cashende DNS-Server, die Anfragen nicht nur von ihren Clients, sondern auch von jedem beliebigen Anwender des Netzes entgegennehmen können. Die Art von DDoS-Attacken, die die Methode der DNS-Reflection (oder DNS-Amplification) einsetzen, wurde bereits im Zusammenhang mit einem bedrohlicheren Angriff auf CloudFlare diskutiert.

Die neue DDoS-Kampagne unter Verwendung von DNS wurde 3 Wochen von den Experten beobachtet, wobei sich alle 24 Stunden 20 GB/Sek. über das CDB-Netz auf die Client-Site ergossen. In dieser Zeit konnten in etwa 68.500 offene Resolver identifiziert werden, die an der DDoS-Attacke beteiligt waren. Der Großteil dieser Server wurde in den USA entdeckt ― dem Land mit unzähligen autonomen Systemen (AS). Unter Berücksichtigung der allgemeinen Population des letzteren erwies sich allerdings Taiwan als Hauptquelle des parasitären DNS-Traffics. Der größte Provider Taiwans, HiNet (AS3462), belegte den zweiten Platz im Rating von CloudFlare nach Zahl der offenen Resolver, die für die DDoS-Angreifer arbeiten (2992). An der Spitze dieser Hitliste steht die pakistanische Pakistan Telecom Company (AS45595 ― 3359 Server). Die vollständige Liste der AS-Netze mit Anzahl der offenen Resolver (ohne Angabe der IP), die an der jüngsten DDoS-Attacke beteiligt waren, kann man auf einer eigens eingerichteten Seite einsehen und sich zudem mit der Bitte um Hilfe an CloudFlare wenden.

Aus dieser Sache lässt sich das Fazit ziehen, dass das Problem der offenen Resolver bereits seit über 10 Jahren besteht. Das Elend liegt nun aber darin, dass sie in der letzten Zeit aktiv von Cyberkriminellen zur Durchführung leistungsstarker DDoS-Attacken ausgenutzt werden. CloudFlare hat angekündigt, weiterhin Listen offener Resolver zu veröffentlichen, die schon seit Langem von solchen Organisationen wie Team Cymru geführt werden, und die den Netzbetreibern volle Unterstützung bei der Bereinigung der Situation gewährleisten. Diesem Bündnis haben sich vor kurzem auch die Aktivisten von HostExploit angeschlossen, die Ratings von AS-Systemen nach Niveau der schädlichen Aktivität veröffentlichen (Top 50 Bad Hosts). Dem Problem der offenen Resolver haben sie ein eigenes Kapitel in ihrem neuen Bericht für das 3. Quartal 2012 gewidmet. Hier ist auch die aktuelle Statistik zu offenen Resolvern in AS-Systemen aufgeführt, die künftig regelmäßig aktualisiert wird. Wie sich herausgestellt hat, haben 4 Provider, die von HostExploit in den ТOP 10 geführt werden, völlig unfreiwillig, aber äußerst aktiv an der jüngsten DDoS-Attacke auf CloudFlare teilgenommen. So landete das taiwanesische HiNet, der nach dem DDoS-Traffic zweitaggressivste CloudFlare-Angreifer, im Rating von HostExploit auf Position 3 (2464 offene Resolver) ― nach dem brasilianischen Telecomunicacoes de Santa Catarina (AS8167) und dem chilenischen Terra Networks Chile (AS7418; 2998 und 3219 Server respektive).

Quelle:

blog.cloudflare.com

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.