DDoS-Angriffe durch Reflektierende DNS-Amplifikation vermeiden

Das DNS (Domain Name System) Protokoll ist momentan das häufigst missbrauchte Protokoll für Distributed Denial of Service (DDoS) Angriffe. Wurden früher vor allem öffentlich erreichbare DNS-Resolver (Open Resolver) als Amplifikator verwendet, werden heute zunehmend autoritative DNS-Server benutzt.

Was sind reflektierende DNS-Amplifikation-DDoS-Angriffe?
Bei reflektierenden DNS-Amplifikation-DDoS-Angriffen versenden infizierte Clients (meistens aus einem Botnet) tausende von DNS-Anfragen an autoritative DNS-Server, welche als Amplifikator missbraucht werden. Die DNS-Anfragen werden mit der IP-Adresse des Opfers gefälscht. Die autoritativen DNS-Server beantworten die DNS-Anfragen, wobei die Antwort ein Mehrfaches der Anfragegrösse sein kann. Für DNSSEC-signierte Zonen kann schnell ein Amplifikationsfaktor von über 40 entstehen.

Die SWITCH-eigenen Nameserver, welche autoritativ für mehrere Second-Level-Domain-Namen sind, werden seit Monaten immer wieder als Amplifikator missbraucht. DNSSEC-signierte Zonen spielen wegen dem höheren Amplifikationsfaktor sicherlich eine wesentliche Rolle. Wir haben jedoch festgestellt, dass teilweise auch nicht signierte Domain-Namen von unseren Hochschulkunden von solchen Angriffen betroffen sind.

Gegenmassnahmen
Das Ziel der Gegenmassnahmen ist es, keine DNS Service- und Qualitätseinbussen für legitime Benutzer zu haben und die eigenen Nameserver nicht für solche Missbräuche zur Verfügung zu stellen. Um eine Gegenmassnahme überhaupt einleiten zu können, müssen Sie missbräuchlichen Datenverkehr zuerst erkennen. Die erste Massnahme sollte daher sein, den DNS-Datenverkehr zu überwachen. Das können Sie mit folgenden Tools erreichen:

• Aufzeichnung der effektiv vom Nameserver bearbeiteten DNS-Anfragen: rrdtool,collectd
• Aufzeichnung der eingehenden DNS-Anfragen: DSC,DSC-ng

Wichtig ist, dass Sie einen Schwellwert für DNS Anfragen bestimmen und alarmiert werden, wenn dieser Schwellwert überschritten wird. Für diese Aufgabe eignet sich auch nfsen/nfdump, welches Router-NetFlow-Daten auswertet.

Aus wirtschaftlicher Sicht genügt es den eingehenden exzessiven DNS-Verkehr so zu limitieren, dass er gleich gross oder kleiner als der ausgehende Datenverkehr ist. Für den Angreifer lohnt es sich dann nicht mehr, den Datenverkehr über Ihre Nameserver zu schicken. IPS oder Firewall ermöglichen oft ein rate-limiting von DNS-Anfragen. Je nach Regelwerk kann die Gefahr sein, dass diese zu restriktiv sind und auch legitime Benutzer treffen können. Oft müssen die Regeln auch spezifisch für einen Angriff definiert werden. Ein rate-limiting z.B mittels iptables kann kurzfristig trotzdem eine sinnvolle Variante sein, wie auch die folgenden zwei Beispiele zeigen:

• ISC Diary – DNS ANY Requests
• Stephane Bortzmeyer – Netfilter u32

Es sind Bestrebungen im Gange, ein DNS rate-limiting in die Nameserver-Software zu implementieren. Längerfristig wird dies wohl die effektivste und sinnvollste Variante sein. ISC BIND und NSD haben entsprechende Patches verfügbar:

• BIND Response Rate Limiting
• NSD Response Rate Limiting

IP Source Address Spoofing
Viele Denial of Service (DoS) Angriffe verwenden gefälschte Source IP Adressen. Würden die meisten Netzwerke nur ausgehenden Datenverkehr mit gültigen Absenderadressen erlauben, so würden wir den hier beschriebenen Angriff nicht sehen. Erklärungen und Anleitungen wie Sie Ihre Router mit einem solchen Anti-Spoofing-Filter konfigurieren können, sind aus folgenden Quellen zu entnehmen:

• Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing
• Team Cymru Configuration Templates

Viele Schweizer ISPs und KMUs setzen diese Massnahme bereits um. Leisten auch Sie einen Beitrag zu einem sicheren Internet und verhindern Sie gefälschte IP-Pakete aus ihrem Netz.