Seit Dezember vergangenen Jahres häufen sich groß angelegte DDoS-Attacken (Distributed Denial of Service) gegen Anbieter von DNS-Diensten (Domain Name System). Allen gemeinsam ist eine neue Methode, die es Angreifern ermöglicht, den Umfang des Traffics, mit dem sie ihr Ziel bombardieren, problemlos zu vervielfachen: Mit Hilfe der "DNS Amplification" wird das DNS gleichzeitig als Ziel und als Waffe genutzt.
Bei einer typischen DDoS-Attacke kommt ein "Botnet" zum Einsatz. Es besteht aus Heim-PCs ("Bots"), die ein Angreifer - üblicherweise mittels via E-Mail verteilten Würmern oder Trojanern - unter Kontrolle gebracht hat. Mittlerweile lässt sich die benötigte Botnet-Kapazität allerdings auch auf dem Schwarzmarkt erwerben: Laut Internet Storm Center bieten beispielsweise russische Hacker-Crews an, für 25 Dollar Malware nach Wahl auf 1.000 Bots zu verteilen. Hat der Angreifer das Botnet erst einmal aufgebaut, kann er die Rechnerherde im Verborgenen so instruieren, dass sie das Ziel seiner Wahl mit Traffic überflutet. Mit einer hinreichenden Zahl von Bots lässt sich genügend Datenlast erzeugen, um kleinere Sites in die Knie zu zwingen.
Um ein Großunternehmen oder eine kritische DNS-Infrastruktur-Komponente wie den ".com"-Name-Server -lahm zu legen, reicht das nicht aus. Nach einem Bericht des Branchendienstes "Computerwire" setzen DNS-Amplification-Attacken in solchen Fällen auf die Fälschung von IP-Adressen und machen sich eine DNS-Funktion namens "Recursion" zu Nutze, um es Angreifern zu ermöglichen, erheblich mehr Traffic an ihre Ziele zu dirigieren - genügend, um DNS-Service-Provider und verantwortliche Politiker in Unruhe zu versetzen. Laut Rodney Joffe, Chief Technology Officer (CTO) bei UltraDNS Corp., regen sich in US-Regierungskreisen mittlerweile Bedenken, dass diese Angriffe von Personen lanciert werden könnten, deren Ziel es ist, das Internet und damit die Wirtschaft zu beeinträchtigen.
"Wir beobachten derzeit vorsätzliche Angriffe gegen hochrangige Ziele", berichtet auch Paul Vixie, President des Internet Systems Consortium (ISC), das die DNS-Software BIND (Berkeley Internet Name Domain) herstellt. Amplification-Attacken funktionieren aus zwei Gründen: Zum einen lässt sich die IP-Adresse eines PCs leicht fälschen, wenn er ein Datenpaket versendet. Zum anderen gibt es Millionen von DNS-Servern, die im Zuge des so genannten Recursion-Prozesses jede DNS-Abfrage beantworten, die sie erhalten. Die zentralen Name-Server des Internet, die für die Übersetzung von alphanumerischen Site-Namen (URLs) in IP-Adressen zuständig sind, werden so mit Abfragen überlastet, die gefälschte Absenderadressen enthalten, dass die Antworten ins Leere laufen müssen.
Um auf diese Weise etwa einen 8-GBit/s-Angriff zu bewirken, benötige man lediglich 200 Heim-PCs, die via DSL mit dem Internet verbunden seien, rechnet UltraDNS-Techniker Joffe vor. Mit genügend Bots, Abfragen und "recursive" beziehungsweise sich selbst aufrufenden Servern ließen sich an den jeweiligen Zielsystemen verhältnismäßig schnell Denial-of-Service-Konditionen schaffen. Nach Schätzungen von Joffe wurden bei den bisherigen Attacken rund 50.000 Name-Server genutzt.
Zu den Zielen der Angriffe gehörten unter anderem UltraDNS selbst, das die Infrastruktur unter anderem für die Top-Level-Domains (TLDs) ".org" und ".uk" betreibt und DNS-Redundanz-Services für Amazon.com und Oracle liefert, sowie VeriSign, Betreiber der TLDs ".com" und ".net". Würden diese DNS-Schlüsselkomponenten außer Gefecht gesetzt, käme dies einem "Abschalten" des Internet gleich, so Joffe. Läge beispielsweise die TLD ".com" auch nur einen Tag lang brach, hätte dies einen wirtschaftlichen Schaden in Milliardenhöhe zur Folge.
Für ISC-Chef Vixie liegt das Hauptproblem weniger in der DNS-Recursion-Funktion als in der Möglichkeit, IP-Adressen zu fälschen. Beseitigen ließe sich dieses Manko lediglich mittels Adressevaluierung von Seiten der Internet Service Provider (ISPs). "Die Lösung für dieses Problem ist nicht neu", so Vixie. Immerhin verfüge die Netzhardware aller namhaften Anbieter wie Cisco oder Juniper über die Fähigkeit der Quellenverifizierung. In der Praxis allerdings sei diese Funktion - entgegen allseits bekannter Best-Practices - meist deaktiviert. "CTOs, Netz-Betreiber, ISPs und Sicherheitsverantwortliche müssen diese Schwachstelle und die diesbezüglichen Konfigurationsempfehlungen verstehen", pflichtet ihm Paul Twomey, President der Internet Corporation for Assigned Names and Numbers (Icann) bei. Entsprechende Empfehlungen stehen auf der Icann-Homepage zum Download zur Verfügung. (kf)