DDoS-Angriff auf Dyn

So schützen sich DNS-Provider

Jens-Philipp Jung ist Mitgründer und Geschäftsführer der Link11 GmbH aus Frankfurt/M. Das Unternehmen schützt Webseiten und Server vor DDoS-Attacken aus dem Internet und hat bereits mehrfach Preise für die innovative Schutzlösung gewonnen. Als ausgewiesener IT-Experte arbeitet Jung an der IKT-Strategie des Bundesministeriums für Bildung und Forschung mit.
Mit einer DNS Water Torture Attacke und einer Bandbreite deutlich unter 1,2 Tbps legte ein DDoS-Angreifer am 21. Oktober 2016 viele Name-Server lahm. Eine Analyse gibt Einblicke in das Vorgehen des Täters und zeigt, welche Schutzmöglichkeiten DNS-Dienstleister haben.

Mit mehreren DDoS-Attacken legte ein Angreifer am 21. Oktober 2016 die DNS-Infrastruktur des Unternehmens Dyn lahm. DNS baut auf Name-Servern auf, die wie ein Telefonbuch Webseiten-Anfragen der richtigen IP-Adresse zuordnen. Viele Unternehmen betreiben diese Infrastruktur nicht selbst, sondern nutzen dafür die Services von Dritten. Amazon, Twitter, Pinterest, Spotifiy, Paypal, Netflix und das Playstation Network gehören zu den Kunden von Dyn. Durch den Zusammenbruch der Name-Server waren daher einige der weltweit bekanntesten Webseiten und Internet-Dienste für mehrere Stunden offline.

Eine DDoS-Attacke in drei Angriffswellen sorgte für einen schweren Ausfall der DNS-Infrastruktur von Dyn.
Eine DDoS-Attacke in drei Angriffswellen sorgte für einen schweren Ausfall der DNS-Infrastruktur von Dyn.
Foto: ZullU InFocus - shutterstock.com

Dyn-Details: So ging der DDoS-Hacker vor

In drei Angriffswellen fragten etwa 150.000 infizierte IoT-Geräte aus dem Mirai-Botnetz IP-Adressen bei den Name-Servern von Dyn an. Dabei handelte es sich nicht um legitime Anfragen, sondern um zufällig generierte Subdomains wie dzv7k5.amazon.de, die gar nicht existieren. Vorgeschaltete Provider Resolver beantworten diese Anfragen in der Regel mit Informationen aus dem Cache. Die Resolver reichten all diese Requests nach den unbekannten, weil nicht-legitimen Subdomains an die Name-Server von Dyn weiter. Dessen Regelwerk schreibt die Beantwortung jeder Anfrage vor.

Das führte am 21. Oktober innerhalb kürzester Zeit zu einer Überlastung der Infrastruktur, so dass keine Anfragen mehr beantwortet werden konnten. Diese Angriffsmethode wird auch als DNS Water Torture-Attacke bezeichnet und ist im Quellcode des Mirai-Botnetzes festgeschrieben.

Auszug aus dem Mirai-Quellcode, der mögliche Angriffsvektoren wie die DNS Water Torture listet.
Auszug aus dem Mirai-Quellcode, der mögliche Angriffsvektoren wie die DNS Water Torture listet.
Foto: Link11 GmbH

Die Auswirkungen der Angriffe waren zwar gigantisch, die Attacke selbst dafür aber relativ klein. Eine Angriffsbandbreite im Terabyte-Bereich ist durch Dyn nie bestätigt worden. Eine solche Attackenstärke bräuchte es auch gar nicht, um eine kritische Überlastung von Name-Server-Infrastrukturen herbei zu führen. Denn Name-Server haben eine relativ niedrige Anfragenlast, die Mehrheit der Request wird aus dem Cache beantwortet.

Geht man bei einer DNS-Anfrage von einer Datengröße von rund 76 Byte - also circa 600 Bps - aus, ergibt sich bei 1,6 Millionen Requests eine Angriffsbandbreite von 1 Gbps. Bei 16 Millionen Anfragen erhöht sich diese auf 10 Gbps. Für Web-Dienste von internationaler Relevanz wie Twitter und Amazon werden jede Sekunde millionenfach die IP-Adressen abgefragt. Fällt das Caching der Adressinformationen aus, wird die Masse der Anfragen für die Name-Server sehr schnell kritisch und sie brechen unter dem Hochleistungsbetrieb ein.

Mit einer Beispielrechnung lässt sich auch der angebliche Rekordwert von 1,2 Tbps Spitzenbandbreite relativieren: Nach der oben genannten Logik bräuchte es 1,920 Milliarden Anfragen, um eine solche Attackenstärke zu generieren. Legt man die Summe der Anfragen auf alle Internet-User der Welt um, dann müsste jeder von ihnen Sekunde für Sekunde eine nicht Cache-fähige IP-Adresse bei demselben Name-Server anfragen.

DDoS-Schutz: Das können DNS-Provider tun

Um Ausfälle dieser Größe zu verhindern, müssen DNS-Dienstleister einen redundanten Aufbau ihrer Infrastruktur und adäquate Schutzmaßnahmen sicherstellen. Am wichtigsten ist die granulare Prüfung der DNS-Anfragen auf ihre Legitimität: Die Routine der Name-Server sieht bislang keine standardmäßige Überprüfung der angefragten Domains nach ihrer Rechtmäßigkeit vor.

Hier empfiehlt sich die Erweiterung durch Filter-Algorithmen, wie sie zum Schutz vor DDoS-Angriffen schon bei der Absicherung von Web-Servern üblich sind. Im Filter, der dem Name-Server vorgeschaltet ist, wird eine Liste von legitimen Domains und Subdomains hinterlegt. Anfragen, die außerhalb dieses Domain-Bereichs liegen, werden bei Lastspitzen geblockt. So gelangen sie gar nicht erst bis zum Name-Server.

Darüber hinaus sollten DNS-Provider ihre Name-Server an verschiedenen Standorten positionieren. Der Vorteil einer solchen "Anycast"-Infrastruktur ist das Loadbalancing, da die Anfragen zu dem System geroutet werden, das geografisch am nächsten liegt. DNS-Anfragen lassen sich so schneller beantworten. Das verkürzt wiederum die Ladezeiten der Webseite. In Deutschland besteht bei der Mehrheit der Top-Domains noch Ausbaubedarf: Erst 35 Prozent der Seiten haben laut einer Analyse des Link11 Security Operation Centers eine Anycast-DNS-Infrastruktur implementiert.

Quellcode von Mirari zur Generierung der Zufallszahl für die Subdomain, so dass man keine statischen Filter-Regeln setzen kann.
Quellcode von Mirari zur Generierung der Zufallszahl für die Subdomain, so dass man keine statischen Filter-Regeln setzen kann.
Foto: Link11 GmbH

Auch die Provider selbst können dazu beitragen, dass DNS-Server besser gegen Angriffe von Cyberkriminellen und Hackern geschützt sind. Provider Resolver sollten noch konsequenter die Anzahl der Anfragen pro Client begrenzen. Die Limitierung der Anfragen pro Sekunde schützt bereits aktive Requests und verwirft Anfragepakete unabhängig davon, ob sie legitim sind oder nicht. Aus Sicht des Clients wird der Dienst zwar eingeschränkt, der Infrastrukturbetreiber kann damit aber einem Komplettausfall teilweise vorbeugen.

Die Time-to-Live (TTL) ist bei vielen Servern in Deutschland zu niedrig gesetzt. Werden gültige Adress-Informationen nur für wenige Minuten gespeichert und dann verworfen, müssen diese in kurzen Intervallen neu angefragt werden. Das funktioniert so lange, wie der Webserver online ist. Fällt er aus, können die Infrastrukturen, die erst nach mehr als 30 Minuten oder mehreren Stunden neue Adress-Informationen benötigen, weiterhin Anfragen beantworten.

Fazit: Ganzheitlicher DNS-Schutz!

DNS-Server zählen zu den Kernkomponenten des Internets. Eine sorgfältige Konfiguration und Absicherung der Infrastruktur ist für die Funktionsfähigkeit des gesamten Netzes wichtig. Der Schutz ist dabei immer ganzheitlich zu betrachten. Das Whitepaper „Sichere Bereitstellung von DNS-Diensten“ des BSI gibt klare Empfehlungen. Es umfasst alle Aspekte von der Netzanbindung über Software- und Hardware-Komponenten bis zum Monitoring und Schutz. (fm)