1.4.3.1 DoS auf DNS-Basis

Das DNSDomain Name System dient bekanntlich zur Auflösung von symbolischen Namen in IPInternet Protocol-Adressen. Hierbei gibt typischerweise ein Name Server in der jeweiligen Zone Auskunft über die Auflösung der zu dieser Zone gehörenden Namen. Man spricht hier von Authoritative Name Server. So kann man beispielsweise beim Server dns.fh-luebeck.de die IP-Adresse des WWWWorld Wide Web Servers der FH Lübeck erfragen. Während dieses beim Besuch der FH Lübeck-Webseite mit einem Browser automatisch im Hintergrund passiert, kann man das auch explizit mit dem Kommandozeilen-Tool nslookup durchführen, in dem man "nslookup www.fh-luebeck.de dns.fh-luebeck.de" eingibt.

Es gibt jedoch auch zahlreiche DNS Server im Internet, die so eingestellt sind, dass sie auch Anfragen beantworten, die nicht die eigene DNS Zone betreffen. Beispielsweise kann man auch den öffentlichen DNS Server von Google, der die IP-Adresse 8.8.8.8 hat, anfragen, welche Informationen dort über den WWW Server der FH Lübeck gespeichert sind ("nslookup www.fh-luebeck.de 8.8.8.8"). Die Antwort wird hier als "nicht autorisierende" Antwort gekennzeichnet. Während diese Art von Caching in vielen Fällen nützlich ist, bietet sie jedoch auch eine Möglichkeit einen DoSDenial of Service-Angriff zu begünstigen.

Diese Art Angriff wird als DNS Amplification Attack (oder auch DNS Reflection Attack) bezeichnet, also eine Verstärkung eines Angriffs mit Hilfe des DNS. Der wesentliche Punkt des Angriffs besteht darin, dass die Angreifer unter Verwendung von gefälschten IP-Adressen kleine Anfragen an diese öffentlichen DNS Server schicken, die mit großen Antworten beantwortet werden. Die falsch angegebene IP-Adresse ist diejenige des Ziels, was angegriffen werden soll. Als Voraussetzung für diesen Angriff müssen den öffentlichen DNS Servern manchmal lange Einträge untergeschoben werden, falls diese nicht von sich aus schon solche Einträge erhalten. Ironischerweise eignen sich gerade die neu eingeführten Felder von DNSSECDomain Name System Security Extensions sehr gut für diesen Zweck.

Am 19. März 2013 wurde eine solcher Angriff auf die Anti-Spam-Organisation Spamhaus.org durchgeführt, der zu dem bis dahin größten DDoS-Angriff führte. Konkret wurden aus 36 Bytes, die an die öffentlichen DNS Server geschickt wurden, 3000 Bytes große Antworten, was zu einen durchschnittlichen Datenvolumen von 75 Gbit/s beim Zielnetz führte (in der Spitze 300 Gbit/s). Seitdem konnten zwei Verdächtige verhaftet werden.

Eine Erklärung zu dieser Art von DDoSDistributed Denial of Service-Angriffen ist im Blog von Cloudflare, einer auf die Abwehr von solchen Angriffen spezialisierten Firma, zu finden.