DDoS-Attacken abwehren

Wie Unternehmen ihr DNS schützen

DNS-basierte DDoS-Angriffe haben sich in Ausmaß und Raffinesse innerhalb kurzer Zeit rasend schnell weiterentwickelt. Wie erklären die technischen Hintergründe und mögliche Schutzmaßnahmen.

Glaubt man einer Umfrage des DDoS-Abwehrspezialisten Arbor Networks, wurde im vergangenen Jahr ein Drittel aller befragten Unternehmen Opfer einer DDoS-Attacke (Distributed Denial of Service) auf ihre DNS-Server (Domain Name System Server). 2012 war es noch nur ein Viertel der Befragten. Auch der Cisco-Sicherheitsreport 2014 zeigt das steigende Risiko - so haben die Sicherheitsexperten festgestellt, dass jedes einzelne in Augenschein genommene Unternehmen bereits von DDoS-Angriffen betroffen war.

Aber: Trotz der stetig wachsenden Gefahr treffen Unternehmen nicht die notwendigen Vorkehrungen, um einen wichtigen Teil ihrer IT-Infrastruktur zu schützen. Nur wenige haben spezielles Personal, das sich intern um das Thema DNS-Sicherheit kümmert und aktive Vorsorge betreibt. Dieser Beitrag soll aufzeigen, wie DNS-basierte DDoS-Attacken funktionieren und was Unternehmen dagegen tun können.

Massive Angriffe

Es ist erstaunlich einfach, die DNS-Infrastruktur eines Unternehmens einzusetzen, um eine DDoS-Attacke auszuführen. Dafür nutzen die Angreifer die IP-Adresse ihres Opfers und senden darüber Anfragen an viele verschiedene Name-Server - die dann wiederum ihre Antworten zurückschicken.

Das Ganze wäre kein allzu großes Problem, wenn diese Antworten in etwa die gleiche Größe hätten wie die Anfragen selbst. Allerdings nutzen Angreifer hier oft eine sogenannte DNS Amplification Attack, einen "verstärkten" Angriff, bei dem die Name-Server sehr große Datenmengen auf eine vermeintlich kleine Anfrage zurückschicken. Dieses Verfahren hat sich besonders verbreitet, seit es den Standard Domain Name Security Extensions (DNSSEC) gibt, mit dem DNS-Einträge digital signiert werden.

In der Praxis: So läuft ein Distributed-Reflection-DoS-Angriff.
In der Praxis: So läuft ein Distributed-Reflection-DoS-Angriff.
Foto: Infoblox

Ein Beispiel: Eine Anfrage, die gerade einmal 44 Byte groß ist, wird von einer gekaperten IP-Adresse an eine Domain geschickt, die den DNSSEC-Standard nutzt - und eine mehr als 4.000 Byte große Antwort auslöst. Mit einer Internetverbindung von einem Mbit/s hätte ein Angreifer also die Möglichkeit, 2.830 je 44 Byte große Anfragen pro Sekunde zu verschicken. Die Antworten an den Zielserver könnten sich allerdings in einer Größenordnung von 93 Mbit/s bewegen. Diese Zahlen lassen sich sogar leicht multiplizieren, wenn ein Botnetz mit Tausenden von Rechnern Anfragen an den gleichen Zielserver schickt. Zehn Komplizen könnten so schnell Antworten mit einer Größe von einem Gbit/s verursachen und den Zielserver komplett handlungsunfähig machen.

Viele Name-Server lassen sich so konfigurieren, dass sie erkennen, wenn sie wiederholt Anfragen für dieselben Daten von der gleichen IP-Adresse bekommen. Aber es gibt auch offene rekursive Server - schätzungsweise 33 Millionen weltweit. Diese akzeptieren dieselbe Anfrage von derselben gekaperten IP-Adresse - und zwar immer und immer wieder.

Was kann ein Unternehmen tun, um sich gegen solche Angriffe zu schützen?