DDoS-Angriff auf Dyn

So schützen sich DNS-Provider

21.12.2016 von Jens-Philipp Jung
Mit einer DNS Water Torture Attacke und einer Bandbreite deutlich unter 1,2 Tbps legte ein DDoS-Angreifer am 21. Oktober 2016 viele Name-Server lahm. Eine Analyse gibt Einblicke in das Vorgehen des Täters und zeigt, welche Schutzmöglichkeiten DNS-Dienstleister haben.

Mit mehreren DDoS-Attacken legte ein Angreifer am 21. Oktober 2016 die DNS-Infrastruktur des Unternehmens Dyn lahm. DNS baut auf Name-Servern auf, die wie ein Telefonbuch Webseiten-Anfragen der richtigen IP-Adresse zuordnen. Viele Unternehmen betreiben diese Infrastruktur nicht selbst, sondern nutzen dafür die Services von Dritten. Amazon, Twitter, Pinterest, Spotifiy, Paypal, Netflix und das Playstation Network gehören zu den Kunden von Dyn. Durch den Zusammenbruch der Name-Server waren daher einige der weltweit bekanntesten Webseiten und Internet-Dienste für mehrere Stunden offline.

Eine DDoS-Attacke in drei Angriffswellen sorgte für einen schweren Ausfall der DNS-Infrastruktur von Dyn.
Foto: ZullU InFocus - shutterstock.com

Dyn-Details: So ging der DDoS-Hacker vor

In drei Angriffswellen fragten etwa 150.000 infizierte IoT-Geräte aus dem Mirai-Botnetz IP-Adressen bei den Name-Servern von Dyn an. Dabei handelte es sich nicht um legitime Anfragen, sondern um zufällig generierte Subdomains wie dzv7k5.amazon.de, die gar nicht existieren. Vorgeschaltete Provider Resolver beantworten diese Anfragen in der Regel mit Informationen aus dem Cache. Die Resolver reichten all diese Requests nach den unbekannten, weil nicht-legitimen Subdomains an die Name-Server von Dyn weiter. Dessen Regelwerk schreibt die Beantwortung jeder Anfrage vor.

Das führte am 21. Oktober innerhalb kürzester Zeit zu einer Überlastung der Infrastruktur, so dass keine Anfragen mehr beantwortet werden konnten. Diese Angriffsmethode wird auch als DNS Water Torture-Attacke bezeichnet und ist im Quellcode des Mirai-Botnetzes festgeschrieben.

Auszug aus dem Mirai-Quellcode, der mögliche Angriffsvektoren wie die DNS Water Torture listet.
Foto: Link11 GmbH

Die Auswirkungen der Angriffe waren zwar gigantisch, die Attacke selbst dafür aber relativ klein. Eine Angriffsbandbreite im Terabyte-Bereich ist durch Dyn nie bestätigt worden. Eine solche Attackenstärke bräuchte es auch gar nicht, um eine kritische Überlastung von Name-Server-Infrastrukturen herbei zu führen. Denn Name-Server haben eine relativ niedrige Anfragenlast, die Mehrheit der Request wird aus dem Cache beantwortet.

Geht man bei einer DNS-Anfrage von einer Datengröße von rund 76 Byte - also circa 600 Bps - aus, ergibt sich bei 1,6 Millionen Requests eine Angriffsbandbreite von 1 Gbps. Bei 16 Millionen Anfragen erhöht sich diese auf 10 Gbps. Für Web-Dienste von internationaler Relevanz wie Twitter und Amazon werden jede Sekunde millionenfach die IP-Adressen abgefragt. Fällt das Caching der Adressinformationen aus, wird die Masse der Anfragen für die Name-Server sehr schnell kritisch und sie brechen unter dem Hochleistungsbetrieb ein.

Mit einer Beispielrechnung lässt sich auch der angebliche Rekordwert von 1,2 Tbps Spitzenbandbreite relativieren: Nach der oben genannten Logik bräuchte es 1,920 Milliarden Anfragen, um eine solche Attackenstärke zu generieren. Legt man die Summe der Anfragen auf alle Internet-User der Welt um, dann müsste jeder von ihnen Sekunde für Sekunde eine nicht Cache-fähige IP-Adresse bei demselben Name-Server anfragen.

Die größten Hacks 2016
US-Demokraten
Im Rahmen eines großangelegten Datendiebstahls werden E-Mails aus dem Democratic National Commitee (DNC) veröffentlicht. Das sorgt nicht nur dafür, dass sich viele US-Amerikaner von der Demokratischen Partei – und ihrer Kandidatin Hillary Clinton – lossagen: Es beweist in den Augen vieler Menschen auch, dass Russland die US-Wahl zu Gunsten von Donald Trump beeinflusst.
Dyn
Eine massive DDoS-Attacke auf den DNS-Provider Dyn sorgt im Oktober für Wirbel: Mit Hilfe eines Botnetzes – bestehend aus tausenden unzureichend gesicherten IoT-Devices – gelingt es Cyberkriminellen, gleich drei Data Center von Dyn lahmzulegen. Amazon, GitHub, Twitter, die New York Times und einige weitere, große Websites sind über Stunden nicht erreichbar.
Panama Papers
Schon aufgrund der schieren Anzahl an gestohlenen Datensätzen, ist der Cyberangriff auf den panamischen Rechtsdienstleister Mossack Fonseca einer der größten Hacks des Jahres: 2,6 Terabyte an brisanten Daten werden dem Unternehmen gestohlen. Mit weitreichenden Folgen, denn die Dokumente decken auf, mit welchen Methoden mehr als 70 Politiker und Vorstände aus aller Welt Steuern mit Hilfe von Offshore-Firmen "sparen".
Yahoo
Erst im September musste Yahoo den größten Hack aller Zeiten eingestehen. Nun verdichten sich die Anzeichen, dass dieselben Hacker sich bereits ein Jahr zuvor deutlich übertroffen hatten: Bei einem Cyberangriff im August 2013 wurden demnach die Konten von knapp einer Milliarde Yahoo-Usern kompromittiert. Dabei wurden Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten und verschlüsselte Passwörter abgegriffen.
NSA
Eine Hackergruppe namens "Shadow Brokers" sorgt im Oktober für Aufsehen, indem sie versucht, Hacking-Tools auf der Blog-Plattform tumblr zu versteigern. Das Besondere daran: Das Toolset wollen die Cyberkriminellen zuvor von der berüchtigten Hackergruppe "Equation Group" gestohlen haben. Und es wird noch besser: Während die "Equation Group" immer wieder mit der National Security Agency in Verbindung gebracht wird, besteht der Verdacht, die "Shadow Brokers" hätten ihrerseits Connections nach Russland.
Bitfinex
Die Bitcoin-Trading-Plattform Bitfinex wird Anfang August 2016 um knapp 120.000 Bitcoins (ca. 89,1 Millionen Euro) erleichtert. Der Hackerangriff hebelt die mehrfach abgesicherte Authentifizierungs-Architektur des Unternehmens, die bis dahin als sicher gilt, schlicht aus. Zwar ist dieser Bitcoin-Hack "nur" der drittgrößte in der IT-Geschichte, allerdings stellt Bitfinex eine der größten Trading-Plattformen in diesem Segment dar. Das Unternehmen verteilt den Verlust übrigens "gleichmäßig" auf seine Kunden: 36 Prozent jedes einzelnen Kontos sind futsch.
Healthcare-Ransomware
Zugegeben: In diesem Fall handelt es sich nicht um einen großen Hack, sondern viele. Sehr viele. Insbesondere die Healthcare-Branche wird 2016 von immer populärer werdenden Ransomware-Kampagnen erschüttert, die sämtliche Dateien auf einem Rechner verschlüsseln und nur gegen die Zahlung eines Lösegelds wieder freigeben (oder auch nicht). Daraus lässt sich einerseits ablesen, wie lukrativ das Geschäft mit der Erpressungs-Malware ist, andererseits, wie weit kriminelle Hacker bereit sind zu gehen, wenn es um ihre monetären Interessen geht.

DDoS-Schutz: Das können DNS-Provider tun

Um Ausfälle dieser Größe zu verhindern, müssen DNS-Dienstleister einen redundanten Aufbau ihrer Infrastruktur und adäquate Schutzmaßnahmen sicherstellen. Am wichtigsten ist die granulare Prüfung der DNS-Anfragen auf ihre Legitimität: Die Routine der Name-Server sieht bislang keine standardmäßige Überprüfung der angefragten Domains nach ihrer Rechtmäßigkeit vor.

Hier empfiehlt sich die Erweiterung durch Filter-Algorithmen, wie sie zum Schutz vor DDoS-Angriffen schon bei der Absicherung von Web-Servern üblich sind. Im Filter, der dem Name-Server vorgeschaltet ist, wird eine Liste von legitimen Domains und Subdomains hinterlegt. Anfragen, die außerhalb dieses Domain-Bereichs liegen, werden bei Lastspitzen geblockt. So gelangen sie gar nicht erst bis zum Name-Server.

Darüber hinaus sollten DNS-Provider ihre Name-Server an verschiedenen Standorten positionieren. Der Vorteil einer solchen "Anycast"-Infrastruktur ist das Loadbalancing, da die Anfragen zu dem System geroutet werden, das geografisch am nächsten liegt. DNS-Anfragen lassen sich so schneller beantworten. Das verkürzt wiederum die Ladezeiten der Webseite. In Deutschland besteht bei der Mehrheit der Top-Domains noch Ausbaubedarf: Erst 35 Prozent der Seiten haben laut einer Analyse des Link11 Security Operation Centers eine Anycast-DNS-Infrastruktur implementiert.

Quellcode von Mirari zur Generierung der Zufallszahl für die Subdomain, so dass man keine statischen Filter-Regeln setzen kann.
Foto: Link11 GmbH

Auch die Provider selbst können dazu beitragen, dass DNS-Server besser gegen Angriffe von Cyberkriminellen und Hackern geschützt sind. Provider Resolver sollten noch konsequenter die Anzahl der Anfragen pro Client begrenzen. Die Limitierung der Anfragen pro Sekunde schützt bereits aktive Requests und verwirft Anfragepakete unabhängig davon, ob sie legitim sind oder nicht. Aus Sicht des Clients wird der Dienst zwar eingeschränkt, der Infrastrukturbetreiber kann damit aber einem Komplettausfall teilweise vorbeugen.

Die Time-to-Live (TTL) ist bei vielen Servern in Deutschland zu niedrig gesetzt. Werden gültige Adress-Informationen nur für wenige Minuten gespeichert und dann verworfen, müssen diese in kurzen Intervallen neu angefragt werden. Das funktioniert so lange, wie der Webserver online ist. Fällt er aus, können die Infrastrukturen, die erst nach mehr als 30 Minuten oder mehreren Stunden neue Adress-Informationen benötigen, weiterhin Anfragen beantworten.

DNS Jumper – Bequem zum schnellsten DNS-Server wechseln
DNS Jumper - Archiv-Download
DNS Jumper ist ein portables Programm, das der Hersteller als ZIP-File zum Download anbietet.
DNS Jumper - Entpacktes ZIP-File
Nachdem Sie das Archiv entpackt haben, starten Sie die im Ordner "DnsJumper" enthaltene EXE-Datei.
DNS Jumper - GUI
Die GUI des Tools wirkt etwas angestaubt und zwängt alle Steuerelemente in nur ein Fenster.
DNS Jumper - Schnellsten DNS ermitteln
Trotz des Layouts lässt sich DNS Jumper weitgehend intuitiv bedienen, etwa um wie hier den Geschwindigkeitstest zu starten.
DNS Jumper - Server-Liste
Sie können bestimmte Anbieter vom Speed-Test ausnehmen, indem Sie das Häkchen in der Checkbox entfernen.
DNS Jumper - Ergebnis Speed-Test
Nach kurzer Zeit steht der schnellste Server fest, den Sie durch Klick auf die entsprechende Schaltfläche gleich übernehmen können.
DNS Jumper - Allgemeine Einstellungen
In den allgemeinen Einstellungen lässt sich unter anderem regeln, ob das Tool automatisch mit Windows gestartet oder im Systray abgelegt wird.
DNS Jumper - Einstellungen DNS-Liste
Die Einträge der DNS-Server-Liste lassen sich einsehen und anpassen, etwa wenn eine IP-Adresse veraltet ist.
DNS Jumper - DNS-Server hinzufuegen
Wenn Sie bekannte Server auf der Liste vermissen, können Sie diese einfach hinzufügen.
DNS Jumper - IPv6-DNS-Liste
Die IPv6-Liste erscheint erst, wenn Sie das entsprechende Kontrollkästchen aktivieren.
DNS Jumper - IPv6 nutzen
Auch im Hauptfenster müssen Sie die IPv6-Unterstützung explizit einschalten.
DNS Jumper - DNS-Voreinstellungen
Über den Eintrag "Voreinstellung" können Sie immer die Default-Konfiguration rasch wiederherstellen.
DNS Jumper - IPv6-Test-Fehlermeldung
Ein Manko des Programms liegt darin, dass Sie derzeit für IPv6 keinen Speed-Test durchführen können.
DNS Jumper - Systray
Haben Sie DNS Jumper im Systray geparkt, können Sie per Kontextmenü auf die häufigsten Befehle zugreifen.

Fazit: Ganzheitlicher DNS-Schutz!

DNS-Server zählen zu den Kernkomponenten des Internets. Eine sorgfältige Konfiguration und Absicherung der Infrastruktur ist für die Funktionsfähigkeit des gesamten Netzes wichtig. Der Schutz ist dabei immer ganzheitlich zu betrachten. Das Whitepaper „Sichere Bereitstellung von DNS-Diensten“ des BSI gibt klare Empfehlungen. Es umfasst alle Aspekte von der Netzanbindung über Software- und Hardware-Komponenten bis zum Monitoring und Schutz. (fm)