Dns Ddos

Dns-Ddos

Die DNS-basierten DDoS-Angriffe haben sich innerhalb kurzer Zeit rasant weiterentwickelt. mw-headline" id="Ablauf">Ablauf[Quellcode bearbeiten]> Der DNS-Angriff nutzt die Vorteile von Nameservern, die in einigen Situationen auf kürzere Anforderungspakete mit sehr großen Paketlängen reagieren. Ein 60 Byte langer Request kann in einigen Situationen eine Response von mehr als 3000 Byte auslösen. Schickt ein Täter zum Beispiel einen permanenten Datenfluss von 100 Megabit pro Sekunde zu verschiedenen offenen Nameservern im Netz, erzeugt er eine Belastung von 5 Gigabit pro Sekunden für das betroffene Unternehmen mit einem Gewinn von 50.

Eine mögliche zusätzliche Auswirkung ist die Überladung der betroffenen Server. Geeignet sind Open-Solver, die Requests von beliebigen Quelladressen entgegennehmen. Früher wurden diese sehr oft als Verstärker eingesetzt, da sie in großer Stückzahl verfügbar waren, u.a. weil der BIND-Name-Server in seiner Standard-Konfiguration als Open-Solver ausgelegt war.

Obwohl es nach wie vor freie Ressourcen gibt, sind diese immer mehr auf den lokalen Adressbereich begrenzt und können daher nicht für Verstärkungsangriffe eingesetzt werden. Als Bewehrungssysteme sind auch autoritäre Name-Server geeignet, sofern Sie daraus ein großes Response-Paket generieren können. Seitdem DNSSEC und die damit verbundenen großen EDNS-Antwort-Pakete eingeführt wurden, gibt es immer mehr autoritäre Name-Server, die als Verstärkungssystem für den Täter interessant werden.

Weil die autoritativen Name-Server Abfragen aus dem ganzen Netz entgegennehmen sollen, kann der Zugriff nicht über IP-Adressbereiche eingeschränkt werden. Vielmehr wird die Ratenbegrenzung erörtert und getestet, mit dem Ziel, so viele Angriffs-Pakete wie möglich zu filtert, ohne die legitimen Anforderungen zu beeinflussen. Nur die IP-Adressen der Name-Server sind für das betroffene Unternehmen ersichtlich.

SSAC Advisory SAC008 DNS Distributed Denial of Service (DDoS) Angriffe.