DNS Amplification Attack

Ablauf

Bei der DNS Amplification Attack wird ausgenutzt, dass Nameserver in bestimmten Fällen auf kurze Anfragepakete mit sehr langen Paketen antworten. Theoretisch kann eine 60 Bytes lange Anfrage eine mehr als 3000 Bytes lange Antwort provozieren. Es liegt also ein Verstärkungsfaktor von mehr als 50 vor. Mittels IP-Spoofing wird diese Antwort auf die IP-Adresse des Opfers gelenkt. Sendet ein Angreifer beispielsweise einen konstanten Datenstrom von 100 Megabits pro Sekunde an verschiedene offene Nameserver im Internet, so erzeugen diese bei einem Verstärkungsfaktor von 50 eine Last von 5 Gigabits pro Sekunde beim Opfer. Hinzu kommt ein höherer Rechenaufwand aufgrund der IP-Fragmentierung.

DNS Amplification Attacks sind erst durch die DNS-Erweiterung EDNS praktikabel geworden, da vorher die maximale Länge eines DNS-Pakets 512 Bytes betrug (was einem Verstärkungsfaktor von unter 10 entspricht). In der Praxis werden derartige Angriffe als Distributed Denial of Service Angriffe durchgeführt, bei denen zahlreiche vom Angreifer kontrollierte PCs von einem bestimmten Zeitpunkt an die DNS-Anfragen absenden. Ein möglicher zusätzlicher Effekt ist die Überlastung der beteiligten Nameserver.

Die Anonymisierung des Angriffs erschwert eine wirkungsvolle Abwehr. Für das Opfer sind nur die IP-Adressen der Nameserver sichtbar, nicht aber die des eigentlichen Angreifers. Ein flächendeckender Einsatz von Ingress Filtern würde einen wirksamen Schutz darstellen, weil dadurch der Eintritt von gespooften IP-Paketen ins Internet verhindert wird.

Beispiel

Der massivste DNS Amplification Angriff fand am 15. Februar 2006 statt. Ziel waren die DNS Root Nameserver (also die wichtigsten Nameserver des Internets), bei denen einige in einem Zeitraum von 20 Minuten Datenströme von ca. 60 Megabits pro Sekunde verzeichneten.^[1]

Einzelnachweis

1. ↑ SSAC Advisory SAC008 DNS Distributed Denial of Service (DDoS) Attacks. In: ICANN. 2006, abgerufen am 3. April 2012 (englisch).