Glaubt man einer Umfrage des DDoS-Abwehrspezialisten Arbor Networks, wurde im vergangenen Jahr ein Drittel aller befragten Unternehmen Opfer einer DDoS-Attacke (Distributed Denial of Service) auf ihre DNS-Server (Domain Name System Server). 2012 war es noch nur ein Viertel der Befragten. Auch der Cisco-Sicherheitsreport 2014 zeigt das steigende Risiko - so haben die Sicherheitsexperten festgestellt, dass jedes einzelne in Augenschein genommene Unternehmen bereits von DDoS-Angriffen betroffen war.
Aber: Trotz der stetig wachsenden Gefahr treffen Unternehmen nicht die notwendigen Vorkehrungen, um einen wichtigen Teil ihrer IT-Infrastruktur zu schützen. Nur wenige haben spezielles Personal, das sich intern um das Thema DNS-Sicherheit kümmert und aktive Vorsorge betreibt. Dieser Beitrag soll aufzeigen, wie DNS-basierte DDoS-Attacken funktionieren und was Unternehmen dagegen tun können.
Massive Angriffe
Es ist erstaunlich einfach, die DNS-Infrastruktur eines Unternehmens einzusetzen, um eine DDoS-Attacke auszuführen. Dafür nutzen die Angreifer die IP-Adresse ihres Opfers und senden darüber Anfragen an viele verschiedene Name-Server - die dann wiederum ihre Antworten zurückschicken.
Das Ganze wäre kein allzu großes Problem, wenn diese Antworten in etwa die gleiche Größe hätten wie die Anfragen selbst. Allerdings nutzen Angreifer hier oft eine sogenannte DNS Amplification Attack, einen "verstärkten" Angriff, bei dem die Name-Server sehr große Datenmengen auf eine vermeintlich kleine Anfrage zurückschicken. Dieses Verfahren hat sich besonders verbreitet, seit es den Standard Domain Name Security Extensions (DNSSEC) gibt, mit dem DNS-Einträge digital signiert werden.
Foto: Infoblox
Ein Beispiel: Eine Anfrage, die gerade einmal 44 Byte groß ist, wird von einer gekaperten IP-Adresse an eine Domain geschickt, die den DNSSEC-Standard nutzt - und eine mehr als 4.000 Byte große Antwort auslöst. Mit einer Internetverbindung von einem Mbit/s hätte ein Angreifer also die Möglichkeit, 2.830 je 44 Byte große Anfragen pro Sekunde zu verschicken. Die Antworten an den Zielserver könnten sich allerdings in einer Größenordnung von 93 Mbit/s bewegen. Diese Zahlen lassen sich sogar leicht multiplizieren, wenn ein Botnetz mit Tausenden von Rechnern Anfragen an den gleichen Zielserver schickt. Zehn Komplizen könnten so schnell Antworten mit einer Größe von einem Gbit/s verursachen und den Zielserver komplett handlungsunfähig machen.
Viele Name-Server lassen sich so konfigurieren, dass sie erkennen, wenn sie wiederholt Anfragen für dieselben Daten von der gleichen IP-Adresse bekommen. Aber es gibt auch offene rekursive Server - schätzungsweise 33 Millionen weltweit. Diese akzeptieren dieselbe Anfrage von derselben gekaperten IP-Adresse - und zwar immer und immer wieder.
Was kann ein Unternehmen tun, um sich gegen solche Angriffe zu schützen?
DDoS-Attacken erkennen und vorsorgen
Als Erstes muss es registrieren, wenn (und wann) sich ein solcher Angriff ereignet. Viele Unternehmen wissen nicht, wie groß ihre reguläre Anfragemenge ist. So merken sie dann auch nicht, wenn der Normalfall deutlich überschritten wird und sie angegriffen werden. Dafür gibt es die DNS-Software BIND, mit der Statistiken eben dazu abgerufen werden können. Administratoren können also genau analysieren, wie viele Anfragen durchschnittlich über die eigenen IP-Adressen gestellt werden - und darüber auch erkennen, wenn es ungewöhnliche Ausschläge gibt, die durch einen DDoS-Angriff hervorgerufen worden sind. Auch wenn nicht immer ganz klar ist, wie ein solcher Angriff aussehen könnte, hilft die Statistik dabei, einen Durchschnitt festzulegen und Anomalien schnell zu erkennen.
Zudem sollten Unternehmen auch jede Komponente ihrer Infrastruktur ganz gezielt und aktiv auf Schwachstellen überprüfen - vor allem jene, die direkt mit dem Internet verbunden sind. Dazu zählen nicht nur die externen autoritativen Name-Server, sondern auch Interaktionen von Switches und Routern, Firewalls und generelle Verbindungen zum Internet. Sobald Schwachstellen entdeckt werden, kann ein Unternehmen entscheiden, wie damit umgegangen werden soll.
Foto: Infoblox
Externe autoritative Name-Server sollten sich an möglichst vielen unterschiedlichen Standorten befinden. Das hilft nicht nur dabei, Schwachstellen zu vermeiden, sondern auch, die Antwortgeschwindigkeiten zu verringern, indem immer derjenige Name-Server antwortet, der sich räumlich am nächsten zum Kunden befindet.
Um sich nicht von großen Antwortmassen außer Gefecht setzen zu lassen, sollten Unternehmen außerdem überlegen, ob sie nicht mehr Ressourcen vorhalten, als eigentlich notwendig sind (Overprovisioning). Im Vergleich zu den Konsequenzen einer DDoS-Attacke wäre das möglicherweise eine günstigere Alternative.
Cloud-basierte DNS-Anbieter betreiben eigene Name-Server in ihren Rechenzentren weltweit. Die können als Ersatz für die unternehmenseigenen Name-Server konfiguriert werden - und zwar mit Daten von einem Master-Name-Server, der wiederum intern verwaltet wird. Aber Vorsicht: Viele dieser Anbieter rechnen auf Basis der erhaltenen Anfragen ab, sodass die Kosten während einer DNS-Attacke signifikant steigen.
Komplize wider Willen
Die richtige Konfiguration der DNS-Infrastruktur ist ein Weg, sich gegen DDoS-Attacken zu schützen. Gleichzeitig sollten Unternehmen aber auch sicherstellen, dass sie nicht unwissentlich zu Komplizen bei DDoS-Attacken gegen andere werden. Gehört ein Unternehmen nicht zu der kleinen Gruppe, die offene rekursive Name-Server betreiben, können sie die DNS-Anfragen begrenzen, die IP-Adressen in einem internen Netzwerk adressieren. So haben nur autorisierte Nutzer Zugriff auf diese sensiblen rekursiven Name-Server.
Für diejenigen, die tatsächlich auch autoritative Name-Server betreiben, gibt es das sogenannte Response Rate Limiting (RRL), das in die BIND-Name-Server integriert ist. Das macht es Angreifern schwer, Anfragen zu verstärken, indem die Anzahl der Antworten, die an eine einzige IP-Adresse geschickt werden, gedeckelt wird.
Unternehmen müssen als Erstes verstehen, wie DDoS-Attacken DNS-Server nutzen, und die Zeichen für einen Angriff erkennen. Dann können sie Maßnahmen ergreifen, um sowohl die Gefahr zu mindern, dass die eigene Infrastruktur angegriffen wird, als auch zu vermeiden, dass sie wider Willen zu einem Mittäter bei Angriffen auf andere werden. (sh)