VPN-Technik und Security-Herausforderungen - NCP ePaper powered by LANline

Wie sich Unternehmen schützen können

DDoS per DNS

Angreifer können offene rekursive DNS-Server nutzen, um ihren DDoS-Datenverkehr um ein Vielfaches zu verstärken. Bild: Infoblox
geschrieben von Rainer Singer/wg, Systems Engineering Manager Central Europe bei Infoblox, www.infoblox.de.

Das Domain Name System (DNS) hat sich zu einem leichten Ziel entwickelt, um Netzwerke anzugreifen – denn es ist überall vorhanden und meist nicht gut gesichert. Das liegt daran, dass DNS einer der wenigen Dienste ist, der fast überall durch die Firewall darf. Die UDP-Basis des Protokolls ermöglicht zudem Spoofing.

Innerhalb der umfassenden Gruppe von Angriffen via DNS sind besonders DDoS-Angriffe (Distributed Denial of Service) auf dem Vormarsch: 2013 war mehr als ein Drittel der Unternehmen von DDoS-Angriffen auf DNS-Server betroffen.
Solche DDoS-Angriffe finden mithilfe der unternehmenseigenen DNS-Infrastruktur statt – und sind im Prinzip recht einfach umzusetzen. So versenden Angreifer Anfragen an Name-Server im Internet, die wiederum Antworten zurücksenden. Dafür verwenden sie selbstverständlich nicht ihre eigene IP-Adresse, sondern die ihres Ziels.
Da DNS-Anfragen verbindungslos über UDP (User Datagram Protocol) gesendet werden, sind sie sehr leicht zu fälschen. Bildlich gesprochen: Den Absender einer DNS-Anfrage zu verschleiern, ist ebenso einfach, wie einen falschen Absender auf eine Postkarte zu schreiben. Diese Vorgehensweise lohnt sich allerdings kaum, wenn lediglich eine einzelne Anfrage verschickt wird – denn das würde noch lange nicht ausreichen, um ein Ziel tatsächlich zu überlasten. Möchte der Angreifer wirklich großen Schaden anrichten, muss er sein Sendevolumen vergrößern, damit auch ein entsprechend großes Antwortvolumen zurückkommt.
Dies ist mit der Einführung des DNSSEC-Standards (DNS Security Extensions) im Jahr 1999 sogar noch einfacher geworden: Nun können auf UDP basierende DNS-Nachrichten große Datenmengen transportieren. Während die meisten Anfragen kleiner als 100 Bytes sind, können Antworten eine Größe von bis zu 4.096 Bytes aufweisen. Zuvor waren Antworten dieser Größenordnung eher selten, heute sind diese Mengen wegen der mittels DNSSEC gespeicherten kryptografischen Schlüssel und digitalen Signaturen im Namen dagegen alltäglich.
Konkrete Rechenbeispiele zeigen genau auf, wie ein solcher DDoS-Angriff zustande kommt: Eine Anfrage mit einer Größe von 44 Bytes wird von einer gefälschten Adresse an eine Domain gesendet, die DNSSEC nutzt. Auf diese einzelne Anfrage erhält der Sender eine Antwort mit einer Größe von 4.077 Bytes – was einem Multiplikator von 93 entspricht.
Nutzt der Angreifer eine übliche 1-MBit/s-Leitung, kann er etwa 2.840 solcher 44-Byte-Anfragen pro Sekunde versenden. Daraus resultiert ein Antwortdatenvolumen von etwa 93 MBit/s, das an die gefälschte Adresse zurückläuft. Um wirklich sicherzustellen, dass er das Ziel lahmlegt, könnte der Angreifer mit weiteren Komplizen auch ein tausende Computer umfassendes Botnet aufbauen. Mit nur zehn zusätzlichen Angreifern könnte eine 1 GBit/s große Auslastung das Opfer wie gewünscht ins Straucheln bringen. Welche Zerstörungskraft DDoS-Angriffe von 300 GBit/s und mehr haben, kann man sich ausmalen.
 
Schutzmaßnahmen

Die meisten Name-Server lassen sich so modifizieren, dass sie genau erkennen, wenn von derselben IP-Adresse immer wieder die gleiche Anfrage für dieselbe Information kommt. Bei rekursiven Name-Servern ist dies allerdings anders, denn sie lassen rekursive Anfragen von jeder IP-Adresse ungefiltert zu. Diese kommen generell eher in geschlossenen IT-Umgebungen wie Unternehmensnetzwerken zum Einsatz – weltweit gibt es aber auch zirka 33 Millionen offene rekursive Server. Da diese auch Anfragen von derselben IP-Adresse – egal ob gefälscht oder nicht – immer wieder zulassen, sind sie ein ideales Ziel für DDoS-Angriffe. Für jede Anfrage, die sie erhalten, antworten sie dem Sender mit einer Datenmenge von der gleichen Größe wie im DNSSEC-Beispiel.
Es gibt verschiedene Wege, wie sich Unternehmen gegen solche Angriffe schützen können – dafür sollten die IT-Organisationen zunächst lernen, wie sie DDoS-Angriffe erkennen. Bislang gibt es viele Unternehmen, die nicht einmal genau beziffern können, wie hoch ihre durchschnittliche Anfragelast ist. Dies lässt sich aber dank der Analysefunktionen, die in die DNS-Management-Software BIND integriert sind, schnell und einfach feststellen. Ist einmal ein Durchschnitt ermittelt, können IT-Abteilungen mittels DNS-Statistiken Trends, Anomalien, Socket Errors und andere Indikatoren leicht erkennen und so auch potenzielle DDoS-Angriffe sicher identifizieren.
Unternehmen sollten außerdem ihre auf das Internet ausgerichtete Infrastruktur umfassend und detailliert überprüfen, um einzelne Schwachstellen ausfindig zu machen, die sich in externen autoritativen Name-Servern (ANS), Switch- und Router-Interaktionen, Firewalls und Verbindungen zum Internet befinden können. Einmal identifiziert, kann man Strategien entwickeln, um diese Schwachstellen zu bereinigen. Unternehmenskritische Name-Server sollten außerdem geografisch so weit wie möglich verteilt sein. So lassen sich zum einen die Auswirkungen einzelner Fehler minimieren, zum anderen aber auch Reaktionszeiten verkürzen, da immer der Name-Server auf eine Anfrage antwortet, der räumlich am nächsten steht. Zudem sollten Unternehmen sicherstellen, dass immer ausreichend Ressourcen vorhanden sind, um die hohen Datenvolumina bei DDoS-Angriffen verarbeiten zu können. Mit leistungsfähigen Name-Servern lassen sich hunderte oder tausende von Anfragen pro Sekunde verarbeiten. Überprovisionierung ist hier eine recht kostengünstige Lösung, da die zusätzlichen Ressourcen oft preiswert zur Verfügung stehen. Außerdem kann man dieses Vorgehen schon vor einem tatsächlichen Angriff auf seine Funktion testen.
Anycast ist ein Routing-Schema, bei dem ein Sender Datenpakete zu einem bestimmten Empfänger schickt. Hier teilen sich mehrere Server dieselbe (virtuelle) IP-Adresse. Dynamische Routing-Protokolle wie OSPF oder BGP sorgen dabei automatisch für die Lastverteilung sowie für die Ausfallsicherheit aller beteiligten Name-Server im Unternehmen. Hat ein Unternehmen zum Beispiel sechs externe Name-Server in zwei verschiedenen Anycast-Gruppen (jeweils drei teilen sich eine Anycast-IP-Adresse), kann ein DDoS-Angreifer den Traffic nur zu einem Mitglied dieser Gruppen senden, sodass die anderen beiden quasi als Ersatz bereitstehen, um die Datenmengen zu verarbeiten.
Weiteren Schutz bieten auch Cloud-basierte DNS-Anbieter, indem sie die Vorteile der räumlichen Verteilung von Name-Servern mit denen der Anycast-Technik vereinen. Solche Anbieter betreiben Anycast-Name-Server auf der ganzen Welt, die Unternehmen als Ersatz für die eigenen Server konfigurieren können – und zwar mit Daten von einem Master-Name-Server, den das Unternehmen wiederum intern verwaltet. Hier ist allerdings Vorsicht geboten: Viele Anbieter rechnen nach Zahl der Anfragen ab. Im Falle einer DDoS-Angriff bleiben Unternehmen so zwar betriebsfähig, müssen aber tief in die Taschen greifen. Daher sollte man vorab klären, wie die Rechnungsausstellung bei DDoS-Angriffen aussieht.