ICANN: Risiken von DDoS mit DNS-Verstärkung mindern

Im Zusammenhang mit der steigenden Zahl leistungsstarker DDoS-Attacken, die das DNS zur Verstärkung des Junk-Traffics nutzen, hat das Security and Stability Advisory Committee (SSAC) der ICANN ein Sicherheitsbulletin veröffentlicht, das sich mit der aktuellen Bedrohung beschäftigt. Die in diesem Dokument erteilten Ratschläge richten sich an Netzbetreiber, DNS-Services sowie an den Regulator des Adressraums des Internets selbst, und zwar als Person, die für eine Steigerung der Effektivität der allgemeinen Maßnahmen gegen den Missbrauch und für die Einbeziehung aller interessierten Seiten im Lösungsprozess dieses aktuellen Problems verantwortlich ist.

Wie die Statistik zeigt, ist die Zahl der Versuche, den DDoS-Traffic durch Ausnutzung breit verwendeter Netzprotokolle, wie etwa SNMP, DNS und – in letzter Zeit auch – NTP zu verstärken, innerhalb des letzten Jahres drastisch angestiegen. Die wichtigste Besonderheit solcher Plattformen, die Cyberkriminellen in die Hände spielen, liegt in der Möglichkeit, die IP-Quelle der Anfragen auszutauschen und außerdem Antworten zu erhalten, die die Anfragen hinsichtlich des Umfangs um ein Vielfaches übersteigen. Eine DDoS-Attacke unter Verwendung solcher „Verstärker“, die auf Anfragen der Angreifer mit einem mächtigen Datenstrom antworten, der auf eine angegebene IP-Adresse gelenkt wird, ist in der Lage, eine deutliche Traffic-Überlastung zu generieren und das Ziel effektiv auszuschalten.

Im Falle von DNS geht es um eine Verstärkung um ein Vielfaches, sogar um ein Dutzendfaches auf jedem Vermittlergerät, das zudem auch noch ein leistungsstarker Server ist, der über eine hohe Kanalkapazität verfügt. Wie schon häufiger erläutert, werden in solchen DDoS-Attacken offene Resolver als Verstärker eingesetzt –Caching-DNS-Server, die aufgrund ihrer Konfiguration in der Lage sind, Anfragen nicht nur von den eigenen Kunden anzunehmen, sondern von jedem beliebigen Internet-Nutzer. Gibt es viele von diesen Vermittlern, so kann die Durchschlagskraft des Traffics Dutzende oder hunderte GB/Sek. betragen. Zum gegenwärtigen Zeitpunkt hält eine Attacke aus dem Vorjahr gegen die amerikanische Organisation Spamhaus den Rekord unter den DDoS-Attacken mit DNS-Verstärkung: Im Rahmen dieses Angriffs unter Beteiligung von mehr als 30.000 Resolvern wurde eine Spitze von 300 GB/Sek. registriert.

Das Problem des Missbrauchs von DNS-Resolvern existiert bereits seit über 10 Jahren, allerdings hat die Zunahme der DDoS-Attacken unter Beteiligung solcher Vermittler es gefährlich verschärft. Leider ist die Anzahl solcher Geräte im Internet trotz aller Bemühungen seitens Experten und Aktivisten noch immer groß: Zum 27. Oktober 2013 zählte die Datenbank des Open Resolver Project 32 Millionen aktive Resolver, von denen 28 Millionen nach Meinung der Mitglieder des Projekts eine klare Bedrohung darstellen. Das SSAC der ICANN ruft die Betreiber verwundbarer DNS-Services dazu auf, Eilmaßnahmen zu ergreifen, die den Zugriff einschränken, desweiterenAnfragenströme, die auf eine Verstärkung des Traffics abzielen, zu blockieren, und zudem die Kommunikation mit Domains zu ignorieren, die bereits als Teil von DrDoS (Attacken mit Verstärkung) identifiziert wurden.

Um den Austausch einer Quelle von DNS-Anfragen zu vermeiden, empfiehlt das SSAC den Netzbetreibern, die im Memorandum BCP-38 der Internet Engineering Task Force (IETF) vorgeschlagene Praxis anzuwenden. In diesem Dokument, das im Mai 2000 veröffentlicht wurde, wird die Umsetzung eines Eingangsfilters genau beschrieben, der am Grenzrouter oder Schutzbildschirm installiert werden kann. Ein solcher Filter siebt Pakete mit gefälschten Absenderadressen zuverlässig heraus und trägt dazu bei, Angriffe auf Drittziele zu verhindern.

Quelle: ICANN

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.