CH-Zone Opfer eines DNS-Amplifikations-Angriffes

Erst ein paar Wochen ist es her, dass wir über DDoS-Angriffe durch Reflektierende DNS-Amplifikation gepostet haben. Heute Morgen um 4 Uhr wurde nun erstmals auch die CH-Zone für einen solchen DNS-Amplifikations-Angriff missbraucht.

Die DNS-Anfragen lauten auf ‘CH’. mit dem Query-Type ‘ANY’. Zusätzlich wird die EDNS-Erweiterung aktiviert, was es ermöglicht in einer UDP-Antwort mehr als 512 Bytes zu erhalten. Ohne EDNS würde der autoritative DNS-Server mit dem gesetzten Flag „TC“ (Truncated) antworten, womit der Client aufgefordert wird, die DNS-Anfrage nochmals über TCP zu schicken. Bei gespooften DNS-Anfragen will man das natürlich verhindern, deshalb ist hier EDNS aktiviert. Wir sehen die DNS-Anfragen von mehreren Quell-Adressen, jedoch ist eine IP-Adresse besonders benutzt. Diese IP-Adresse, welches das Opfer des DDoS-Angriffes ist, empfängt alle Antworten.

Warum wird gerade die CH-Zone missbraucht?

Auf bekannten DNS-Mailinglisten wie z.B. DNS-OARC wird schon länger über DNS-Amplifikations-Angriffe diskutiert. SWITCH betreibt auch Secondary DNS-Services für andere TLDs, wo wir solchen Missbrauch in den letzten Monaten bereits gesehen haben. Wir vermuten, die CH-Zone wird aktuell missbraucht, weil wir wegen eines DNSSEC Signierungs-Algorithmus-Rollover alle signierten Zonen-Einträge doppelt signieren. Die Tatsache, dass gewisse Zonen-Einträge doppelt signiert werden, führt zu einer höheren Amplifikation. Für das Angriffs-Pattern, das wir sehen, ist die Amplifikation 75. Wenn also 3 MB/s bei uns eintreffen, dann antworten wir mit 225 MB/s.

Mehr zum DNSSEC Signierungs-Algorithmus-Rollover werden wir in einem späteren Blog-Post berichten.

CH-Zonen Secondaries
Die CH-Zone ist auf sieben Namenservern, wovon zwei von SWITCH betrieben werden und zwei von unterschiedlichen Anycast-Providern, welche weltweit verteilte Instanzen führen. Dank den Anycast-Clouds ist die CH-Zone weltweit auf über 120 Instanzen verteilt. In der Schweiz befinden sich selber drei dedizierte Nameserver und zusätzlich drei Instanzen der zwei Anycast Provider.

Die gute Verteilung der CH-Zone ermöglicht es, grösseren Datenverkehr aufzufangen. Insbesondere Angriffe auf die Anycast-Instanzen haben den Vorteil, dass der Angriffsverkehr dort aufgenommen wird, wo er entsteht. Damit die CH-Zone funktioniert, genügt es, wenn ein Nameserver funktionstüchtig bleibt.

Der Missbrauch der CH-Zone hatte folglich keine Auswirkung. Erfreulicherweise können wir sogar feststellen, dass fast alle unsere Secondary-Betreiber Massnahmen implementiert haben, damit solcher missbräuchlicher Datenverkehr abgefangen wird (Siehe auch Massnahmen aus dem Blog-Post DDoS-Angriffe durch Reflektierende DNS-Amplifikation vermeiden). Dies heisst, das eigentliche Ziel des Angriffs wird hoffentlich nicht mehr stark in Mitleidenschaft gezogen. Für den Angreifer heisst dies wiederum, dass es sich finanziell nicht lohnt die CH-Zone anzugreifen. Denn wenn er mehr Datenverkehr zu den CH-Servern schicken muss, als von diesen zurück an das Opfer geschickt wird, dann lohnt sich der Missbrauch der CH-Zone offensichtlich nicht.