Vorbeugende Maßnahmen gegen verteilte Dienstblockaden

DDoS-Attacken über das Domain Name System

| Autor / Redakteur: Rainer Singer / Stephan Augsten

So einfach funktioniert eine DDoS-Attacke

Einen DDoS-Angriff auf das DNS eines Unternehmens auszuführen, ist überraschend einfach: Ein Angreifer versendet eine Anfrage an einen Name Server im Internet und benutzt dabei nicht seine eigene IP-Adresse, sondern die seines Ziels. Im Gegenzug sendet der Server eine Antwort an die verwendete IP-Adresse.

DNS-Anfragen laufen verbindungslos über das User Datagram Protocol (UDP) und sind deswegen leicht zu fälschen. Vergleichbar ist das Ganze mit dem Verschicken einer Postkarte mit falschem Absender – einfach, aber schwer nachvollziehbar. Einzelne falsche Anfragen reichen nicht aus, um das Ziel zu überlasten und außer Gefecht zu setzen.

Wirksam wird ein Angriff erst ab einem bestimmten Sendevolumen, das dann ein entsprechendes Antwortvolumen zur Folge hat. Im Jahr 1999 wurde gerade diese Praktik durch die Einführung des DNSSEC-Standards (DNS Security Extensions) zusätzlich vereinfacht. Seitdem können UDP-basierte DNS-Nachrichten auch große Datenmengen transportieren.

In der Regel überschreiten Anfragen die Größe von 100 Bytes nicht. Die Antworten hingegen können bis zu 4.096 Bytes groß sein. Bis zu dieser Änderung waren Antworten in vergleichbarer Größenordnung eher selten, heute sind sie wegen der DNSSEC-gespeicherten kryptographischen Verschlüsselung und digitalen Signaturen alltäglich.

Rechenbeispiel

Eine Anfrage mit einer Größe von 44 Bytes wird von einer gefälschten Adresse an eine Domain gesendet, die DNSSEC nutzt. Der Sender erhält daraufhin jedoch eine Antwort mit einer Größe von 4.077 Bytes. Das entspricht der Ursprungsgröße multipliziert mit 93. Nutzt der Angreifer eine übliche Übertragungsleitung mit einem Megabit pro Sekunde (1 Mbps), kann er etwa 2.840 solcher 44-Byte-Anfragen versenden.

Daraus ergibt sich ein Antwortvolumen von etwa 93 Mbps, das an die gefälschte Adresse zurückgesandt wird. Mithilfe von zehn weiteren Angreifern und einem etwa 1.000 Computer umfassenden Botnetz kann der Angreifer die Wirksamkeit seines Angriffs massiv erhöhen. Eine Auslastung von 1 Gbps reicht oft schon aus, um das Ziel lahmzulegen. Welche Zerstörungskraft DDoS-Attacken mit 300 Gbps und mehr haben können, ist fast schon unvorstellbar.

Der Großteil der Name Server kann so modifiziert werden, dass sie erkennen, ob eine Anfrage immer wieder von derselben IP-Adresse versendet wird und dabei die identische Information trägt. Rekursive Server – von denen es rund 33 Millionen auf der Welt gibt – akzeptieren hingegen dieselbe Anfrage von einer stets gleichen gefälschten IP-Adresse immer wieder und beantworten diese auch kontinuierlich.

Solche rekursiven Server finden hauptsächlich in geschlossenen IT-Umgebungen wie Firmennetzen Anwendung und sind deswegen ein ideales Ziel für DDoS-Angriffe. Für Unternehmen gibt es verschiedene Wege, um sich gegen solche Angriffe zu wappnen.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 42716424 / Bedrohungen und Attacken)