Was ist DNS Amplification Attack (DNS-Verstärkerangriff)?

Eine DNS-Verstärkerattacke beziehungsweise eine DNS-Amplification-Attacke ist eine besondere Art von DDoS-Angriff (Distributed Denial of Service), die in seiner Intensität erheblich zunehmen kann.

Bei einer DNS Amplification Attacke sendet der Angreifer gefälschte Datenpakete an einen DNS-Server (Domain Name System), um so seine Herkunft zu verschleiern und um die Antwort des Servers nicht an ihn, sondern an das ins Auge gefasste Ziel zu schicken. Durch verschiedene Techniken kann er so eine vergleichsweise kleine Anfrage in eine erheblich größere Datenmenge verwandeln, die das Zielnetzwerk auf die Knie zwingen soll.

Zunächst sendet der Angreifer eine Look-up-Anfrage an einen nicht ausreichend geschützten DNS-Server. Als Absender gibt er die IP-Adresse des Ziels an. Meist wird dabei auf einen DNS-Server zurückgegriffen, der auch als offenes rekursives Relay funktioniert, also auch fremde Anfragen entgegennimmt und verarbeitet. Oft setzen die Hacker auch ein Botnetz ein, um die Zahl der Anfragen zu erhöhen und um ihre Urheberschaft weiter zu verschleiern. Die DNS-Anfragen werden meist mit Hilfe der EDNS0-Extension des DNS-Protokolls gesendet, die auch große DNS-Nachrichten erlaubt. Teilweise wird auch die DNSSEC-Erweiterung genutzt, um die Nachricht zusätzlich aufzublasen.

Diese Verstärkungen können die Größe des Datenpakets von normalerweise um die 40 Byte auf über 4.000 Byte erhöhen. Das ist die maximal erlaubte Größe für Pakete in Ethernet-Netzwerken. Durch die Überschreitung dieser Grenze sorgen die Angreifer dafür, dass die einzelnen Datenpakete während ihrer Übertragung aufgeteilt und später wieder zusammengesetzt werden müssen. Dadurch wird die Belastung des Zielnetzwerks weiter erhöht. Gerade wenn zusätzlich ein Botnetz eingesetzt wird, können so zahllose sich verstärkende Anfragen bei einer nur geringen Belastung des Absenders verschickt werden. Diese Art von Attacken ist nur schwer aufzuhalten, da sie von legitim wirkenden Servern stammt, die ja im Prinzip nur legitime Daten schicken.

DNS-Verstärkung ist eine der besonders populären Angriffsmethoden. Beispielsweise wurde die Technik im Jahr 2013 genutzt, um Spamhaus zu attackieren. Der Spezialist für gegen Spam eingesetzte schwarze Listen (Blacklists) wurde vermutlich von Cyberkriminellen angegriffen, die sich in ihren Verbreitungsmöglichkeiten für Malware behindert sahen. Bis heute ist aber nicht eindeutig klar, wer wirklich hinter den Angriffen steckte. Sie waren so heftig, dass sie Auswirkungen auf die Performance des gesamten Internets hatten.

Vorgeschlagene Methoden zum Verhindern oder zumindest zum Begrenzen von DNS Amplification Attacks umfassen Limits für Bandbreiten, neue und verbesserte Sicherheitsmaßnahmen für DNS-Server oder alternativ das Blockieren bestimmter DNS-Server oder zumindest der Systeme, die als offene Relay-Server missbraucht werden können.

DNS Amplification Attack (DNS-Verstärkerangriff)

Erfahren Sie mehr über Netzwerksicherheit

Die Macht der Namen: Angriffe auf DNS-Server

Was man über UDP-Schwachstellen und Sicherheit wissen sollte

TCP-basierte Flood-Angriffe auf Web Application Firewalls

Web Application Firewall (WAF)