SWITCH Security-Blog

SWITCH-CERT IT-Security Blog

DDoS-Angriffe durch Reflektierende DNS-Amplifikation vermeiden

3 Comments


Das DNS (Domain Name System) Protokoll ist momentan das häufigst missbrauchte Protokoll für Distributed Denial of Service (DDoS) Angriffe. Wurden früher vor allem öffentlich erreichbare DNS-Resolver (Open Resolver) als Amplifikator verwendet, werden heute zunehmend autoritative DNS-Server benutzt.

Was sind reflektierende DNS-Amplifikation-DDoS-Angriffe?
Bei reflektierenden DNS-Amplifikation-DDoS-Angriffen versenden infizierte Clients (meistens aus einem Botnet) tausende von DNS-Anfragen an autoritative DNS-Server, welche als Amplifikator missbraucht werden. Die DNS-Anfragen werden mit der IP-Adresse des Opfers gefälscht. Die autoritativen DNS-Server beantworten die DNS-Anfragen, wobei die Antwort ein Mehrfaches der Anfragegrösse sein kann. Für DNSSEC-signierte Zonen kann schnell ein Amplifikationsfaktor von über 40 entstehen.

DNS Amplifikation

DNS Amplifikation: Der eingehende Verkehr beim Opfer ist mehrheitlich als Fragmentierter UDP Verkehr ersichtlich und verstopft die Internet-Anbindung was zu einem Denial of Service führt.

Die SWITCH-eigenen Nameserver, welche autoritativ für mehrere Second-Level-Domain-Namen sind, werden seit Monaten immer wieder als Amplifikator missbraucht. DNSSEC-signierte Zonen spielen wegen dem höheren Amplifikationsfaktor sicherlich eine wesentliche Rolle. Wir haben jedoch festgestellt, dass teilweise auch nicht signierte Domain-Namen von unseren Hochschulkunden von solchen Angriffen betroffen sind.

DSC

DSC Statistik: Eingehende DNS ANY Anfragen (Anfragespitze bis zu 60’000 qps)

Gegenmassnahmen
Das Ziel der Gegenmassnahmen ist es, keine DNS Service- und Qualitätseinbussen für legitime Benutzer zu haben und die eigenen Nameserver nicht für solche Missbräuche zur Verfügung zu stellen. Um eine Gegenmassnahme überhaupt einleiten zu können, müssen Sie missbräuchlichen Datenverkehr zuerst erkennen. Die erste Massnahme sollte daher sein, den DNS-Datenverkehr zu überwachen. Das können Sie mit folgenden Tools erreichen:

  • Aufzeichnung der effektiv vom Nameserver bearbeiteten DNS-Anfragen: rrdtool,collectd
  • Aufzeichnung der eingehenden DNS-Anfragen: DSC,DSC-ng

 

Wichtig ist, dass Sie einen Schwellwert für DNS Anfragen bestimmen und alarmiert werden, wenn dieser Schwellwert überschritten wird. Für diese Aufgabe eignet sich auch nfsen/nfdump, welches Router-NetFlow-Daten auswertet.

Aus wirtschaftlicher Sicht genügt es den eingehenden exzessiven DNS-Verkehr so zu limitieren, dass er gleich gross oder kleiner als der ausgehende Datenverkehr ist. Für den Angreifer lohnt es sich dann nicht mehr, den Datenverkehr über Ihre Nameserver zu schicken. IPS oder Firewall ermöglichen oft ein rate-limiting von DNS-Anfragen. Je nach Regelwerk kann die Gefahr sein, dass diese zu restriktiv sind und auch legitime Benutzer treffen können. Oft müssen die Regeln auch spezifisch für einen Angriff definiert werden. Ein rate-limiting z.B mittels iptables kann kurzfristig trotzdem eine sinnvolle Variante sein, wie auch die folgenden zwei Beispiele zeigen:

 

Es sind Bestrebungen im Gange, ein DNS rate-limiting in die Nameserver-Software zu implementieren. Längerfristig wird dies wohl die effektivste und sinnvollste Variante sein. ISC BIND und NSD haben entsprechende Patches verfügbar:

 

IP Source Address Spoofing
Viele Denial of Service (DoS) Angriffe verwenden gefälschte Source IP Adressen. Würden die meisten Netzwerke nur ausgehenden Datenverkehr mit gültigen Absenderadressen erlauben, so würden wir den hier beschriebenen Angriff nicht sehen. Erklärungen und Anleitungen wie Sie Ihre Router mit einem solchen Anti-Spoofing-Filter konfigurieren können, sind aus folgenden Quellen zu entnehmen:

 

Viele Schweizer ISPs und KMUs setzen diese Massnahme bereits um. Leisten auch Sie einen Beitrag zu einem sicheren Internet und verhindern Sie gefälschte IP-Pakete aus ihrem Netz.

3 thoughts on “DDoS-Angriffe durch Reflektierende DNS-Amplifikation vermeiden

  1. Sehr informativ!
    Kann man den Verursacher eruieren, oder zumindest das Land von welchem der cyberangriff ausgeht?

  2. Guten Tag Herr Tanner
    Das ist leider nicht so einfach zu eruieren. Der SWITCH-Backbone hat mehrere Verbindungen zum Internet. Wir sehen die Daten nicht von einer bestimmten Richtung kommen. Vermutlich stammt der Angriff von einem Botnet. Was für ein Botnet es ist, wie gross und wer es Betreibt ist uns nicht bekannt.

  3. Vielen Dank für den Artikel und für die Links mit den den möglichen Gegenmassnahmen.