DDoS-Attacken abwehren

Wie Unternehmen ihr DNS schützen

Rainer Singer arbeitet seit 2007 für Infoblox. Als Systems Engineering Manager CEUR verantwortet er den technischen Bereich. Die Betreuung und der Ausbau des Teams von Systems Engineers in DACH, Osteuropa und den CIS-Staaten fallen in sein Verantwortungsgebiet.
Der Diplom Ingenieur verfügt über langjährige Erfahrung im Systems- und Security-Engineering-Bereich und war zuvor unter anderem bei F5 Networks als Systems Engineer und bei Integralis als Technical Consultant tätig.
DNS-basierte DDoS-Angriffe haben sich in Ausmaß und Raffinesse in kurzer Zeit rasend schnell weiterentwickelt. Wie erklären die technischen Hintergründe und mögliche Schutzmaßnahmen.

Glaubt man einer Umfrage des DDoS-Abwehrspezialisten Arbor Networks, wurden im vergangenen Jahr ein Drittel aller befragten Unternehmen Opfer einer DDoS-Attacke (Distributed Denial of Service) auf ihre DNS-Server (Domain Name System Server). 2012 waren es noch nur ein Viertel der Befragten. Auch der Cisco-Sicherheitsreport 2014 zeigt das steigende Risiko - so haben die Sicherheitsexperten festgestellt, dass jedes einzelne in Augenschein genommene Unternehmen bereits von DDoS-Angriffen betroffen war.

DDoS ist ein bei politischen Aktivisten beliebtes Mittel; aber auch Kriminelle, die aufs schnelle Geld aus sind, nutzen es zunehmend.
DDoS ist ein bei politischen Aktivisten beliebtes Mittel; aber auch Kriminelle, die aufs schnelle Geld aus sind, nutzen es zunehmend.
Foto: Deutsche Telekom AG / Norbert Ittermann

Aber: Trotz der stetig wachsenden Gefahr treffen Unternehmen nicht die notwendigen Vorkehrungen, um einen wichtigen Teil ihrer IT-Infrastruktur zu schützen. Nur wenige haben spezielles Personal, das sich intern um das Thema DNS-Sicherheit kümmert und aktive Vorsorge betreibt. Dieser Beitrag soll aufzeigen, wie DNS-basierte DDoS-Attacken funktionieren und was Unternehmen dagegen tun können.

Massive Angriffe

Es ist erstaunlich einfach, die DNS-Infrastruktur eines Unternehmens einzusetzen, um eine DDoS-Attacke auszuführen. Dafür nutzen die Angreifer die IP-Adresse ihres Opfers und senden darüber Anfragen an viele verschiedene Name Server - die dann wiederum ihre Antworten zurückschicken.

Das Ganze wäre kein allzu großes Problem, wenn diese Antworten in etwa die gleiche Größe hätten wie die Anfragen selbst. Allerdings nutzen Angreifer hier oft eine so genannte DNS Amplification Attack, einen "verstärkten" Angriff, bei dem die Name Server sehr große Datenmengen auf eine vermeintlich kleine Anfrage zurückschicken. Dieses Verfahren hat sich besonders verbreitet, seit es den Standard Domain Name Security Extensions (DNSSEC) gibt, mit dem DNS-Einträge digital signiert werden.

So läuft ein Distributed Reflection DoS-Angriff.
So läuft ein Distributed Reflection DoS-Angriff.
Foto: Infoblox

Ein Beispiel: Eine Anfrage, die gerade einmal 44 Bytes groß ist, wird von einer gekaperten IP-Adresse an eine Domain geschickt, die den DNSSEC-Standard nutzt - und eine mehr als 4.000 Bytes große Antwort auslöst. Mit einer Internetverbindung von einem Mbps hätte ein Angreifer also die Möglichkeit, 2.830 44-Byte große Anfragen pro Sekunde verschicken. Die Antworten an den Zielserver könnten sich allerdings in einer Größenordnung von 93 Mbps bewegen. Diese Zahlen lassen sich sogar leicht multiplizieren, wenn ein Botnetz mit Tausenden von Rechnern Anfragen an den gleichen Zielserver schickt. Zehn Komplizen könnten so schnell Antworten mit einer Größe von einem Gbps verursachen und den Zielserver komplett handlungsunfähig machen.

Viele Name Server lassen sich so konfigurieren, dass sie erkennen, wenn sie wiederholt Anfragen für dieselben Daten von der gleichen IP-Adresse bekommen. Aber es gibt auch offene rekursive Server - schätzungsweise 33 Millionen weltweit. Diese akzeptieren dieselbe Anfrage von derselben gekaperten IP-Adresse - und zwar immer und immer wieder.

Was kann ein Unternehmen tun, um sich gegen solche Angriffe zu schützen?

DDoS-Attacken erkennen und vorsorgen

Als erstes muss es registrieren, wenn (und wann) sich ein solcher Angriff ereignet. Viele Unternehmen wissen nicht, wie groß ihre reguläre Anfragemenge ist. So merken sie dann auch nicht, wenn der Normalfall deutlich überschritten wird und sie angegriffen werden. Dafür gibt es die DNS-Software BIND, mit der Statistiken eben dazu abgerufen werden können. Administratoren können also genau analysieren, wie viele Anfragen durchschnittlich über die eigenen IP-Adressen gestellt werden - und darüber auch erkennen, wenn es ungewöhnliche Ausschläge gibt, die durch einen DDoS-Angriff hervorgerufen worden sind. Auch wenn nicht immer genau klar ist, wie ein solcher Angriff aussehen könnte, hilft die Statistik dabei, einen Durchschnitt festzulegen und Anomalien schnell zu erkennen.

Zudem sollten Unternehmen auch jede Komponente ihrer Infrastruktur ganz gezielt und aktiv auf Schwachstellen überprüfen - vor allem die, die direkt mit dem Internet verbunden sind. Dazu zählen nicht nur die externen autoritativen Name Server, sondern auch Interaktionen von Switches und Routern, Firewalls und generelle Verbindungen zum Internet. Sobald Schwachstellen entdeckt werden, kann ein Unternehmen entscheiden, wie damit umgegangen werden soll.

DNS-Sicherheit muss sowohl externen als auch internen Angriffen standhalten.
DNS-Sicherheit muss sowohl externen als auch internen Angriffen standhalten.
Foto: Infoblox

Externe autoritative Name Server sollten sich an möglichst vielen unterschiedlichen Standorten befinden. Das hilft nicht nur dabei, Schwachstellen zu vermeiden, sondern auch, die Antwortgeschwindigkeiten zu verringern, indem immer der Name Server antwortet, der sich räumlich am nächsten zum Kunden befindet.

Um sich nicht von großen Antwortmassen außer Gefecht setzen zu lassen, sollten Unternehmen außerdem überlegen, ob sie nicht mehr Ressourcen vorhalten, als eigentlich notwendig sind (Overprovisioning). Im Vergleich zu den Konsequenzen einer DDoS-Attacke wäre das möglicherweise eine günstigere Alternative.

Cloud-basierte DNS-Anbieter betreiben eigene Name Server in ihren Rechenzentren weltweit. Die können als Ersatz für die unternehmenseigenen Name Server konfiguriert werden - und zwar mit Daten von einem Master Name Server, der wiederum intern verwaltet wird. Aber Vorsicht: Viele dieser Anbieter rechnen auf Basis der erhaltenen Anfragen ab, so dass die Kosten während einer DNS-Attacke signifikant steigen.

Komplize wider Willen

Die richtige Konfiguration der DNS-Infrastruktur ist ein Weg, um sich gegen DDoS-Attacken zu schützen. Gleichzeitig sollten Unternehmen aber auch sicherstellen, dass sie nicht unwissentlich zu Komplizen bei DDoS-Attacken gegen andere werden. Gehört ein Unternehmen nicht zu der kleinen Gruppe, die offene rekursive Name Server betreiben, können sie die DNS-Anfragen begrenzen, die IP-Adressen im einen internen Netzwerk adressieren. So haben nur autorisierte Nutzer Zugriff auf diese sensiblen rekursiven Name Server.

Diejenigen, die tatsächlich auch autoritative Name Server betreiben, gibt es das so genannte Response Rate Limiting (RRL), das in die BIND Name Server integriert ist. Das macht es Angreifern schwer, Anfragen zu verstärken, indem die Anzahl der Antworten, die an eine einzige IP-Adresse geschickt werden, gedeckelt wird.

Unternehmen müssen als erstes verstehen, wie DDoS-Attacken DNS-Server nutzen und die Zeichen für einen Angriff erkennen. Dann können sie Maßnahmen ergreifen, um sowohl die Gefahr zu mindern, dass die eigene Infrastruktur angegriffen wird, als auch zu vermeiden, dass sie wider Willen zu einem Mittäter bei Angriffen auf andere werden. (sh)