Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

27.04.2006

Angriffe auf das Rückgrat des Internets

Eine Serie von DDoS-Attacken auf Domain-Name-Server beunruhigt Experten.
Schritt 1: Angreifer sendet Signal, um Bots zu aktivieren, die dann - jeder für sich - die folgenden Schritte auslösen. Schritt 2: Anfrage: "Wie lautet die IP-Adresse von ,xx-webserver.de‘? Antwort an die Opfer-IP-Adresse." Schritt 3: Anfrage: "Wo ist die IP-Adresse von ,xx-webserver.de‘ zu finden?" Schritt 4: Antwort: "Anfrage an .de-Namespace stellen." Schritt 5: Anfrage: "Wie lautet die IP-Adresse von ,xx-webserver.de‘?" Schritt 6: Antwort: "Anfrage an den primären DNS-Server von ,xx-webserver.de' stellen." Schritt 7: Anfrage: "Wie lautet die IP-Adresse von ,xx-webserver.de‘?" Schritt 8: Antwort = IP-Adresse von "xx-webserver.de" Schritt 9: Antwort (wie gewünscht an den Opfer-Server) = IP-Adresse von "xx-webserver.de". Jede Antwort kann bis um den Faktor 73 vervielfacht werden.
Schritt 1: Angreifer sendet Signal, um Bots zu aktivieren, die dann - jeder für sich - die folgenden Schritte auslösen. Schritt 2: Anfrage: "Wie lautet die IP-Adresse von ,xx-webserver.de‘? Antwort an die Opfer-IP-Adresse." Schritt 3: Anfrage: "Wo ist die IP-Adresse von ,xx-webserver.de‘ zu finden?" Schritt 4: Antwort: "Anfrage an .de-Namespace stellen." Schritt 5: Anfrage: "Wie lautet die IP-Adresse von ,xx-webserver.de‘?" Schritt 6: Antwort: "Anfrage an den primären DNS-Server von ,xx-webserver.de' stellen." Schritt 7: Anfrage: "Wie lautet die IP-Adresse von ,xx-webserver.de‘?" Schritt 8: Antwort = IP-Adresse von "xx-webserver.de" Schritt 9: Antwort (wie gewünscht an den Opfer-Server) = IP-Adresse von "xx-webserver.de". Jede Antwort kann bis um den Faktor 73 vervielfacht werden.

Seit Dezember vergangenen Jahres häufen sich groß angelegte DDoS-Attacken (Distributed Denial of Service) gegen Anbieter von DNS-Diensten (Domain Name System). Allen gemeinsam ist eine neue Methode, die es Angreifern ermöglicht, den Umfang des Traffics, mit dem sie ihr Ziel bombardieren, problemlos zu vervielfachen: Mit Hilfe der "DNS Amplification" wird das DNS gleichzeitig als Ziel und als Waffe genutzt.

Links

www.us-cert.gov/reading_room/ DNS-recursion121605.pdf

www.isotf.org/news/ DNS-Amplification-Attacks.pdf

www.icann.org

Bei einer typischen DDoS-Attacke kommt ein "Botnet" zum Einsatz. Es besteht aus Heim-PCs ("Bots"), die ein Angreifer - üblicherweise mittels via E-Mail verteilten Würmern oder Trojanern - unter Kontrolle gebracht hat. Mittlerweile lässt sich die benötigte Botnet-Kapazität allerdings auch auf dem Schwarzmarkt erwerben: Laut Internet Storm Center bieten beispielsweise russische Hacker-Crews an, für 25 Dollar Malware nach Wahl auf 1000 Bots zu verteilen. Hat der Angreifer das Botnet erst einmal aufgebaut, kann er die Rechner im Verborgenen so instruieren, dass sie das Ziel seiner Wahl mit Traffic überfluten. Mit einer hinreichenden Zahl von Bots lässt sich genügend Datenlast erzeugen, um kleinere Sites in die Knie zu zwingen.

Um ein Großunternehmen oder eine kritische DNS-Infrastruktur-Komponente wie den ".com"-Name-Server lahm zu legen, reicht das nicht aus. Nach einem Bericht des Branchendienstes "Computerwire" setzen DNS-Amplification-Attacken in solchen Fällen auf die Fälschung von IP-Adressen und machen sich eine DNS-Funktion namens "Recursion" zunutze, um es Angreifern zu ermöglichen, erheblich mehr Traffic an ihre Ziele zu dirigieren - genügend, um DNS-Service-Provider und verantwortliche Politiker in Unruhe zu versetzen. Laut Rodney Joffe, Chief Technology Officer (CTO) bei UltraDNS Corp., regen sich in US-Regierungskreisen mittlerweile Bedenken, dass diese Angriffe von Personen lanciert werden könnten, deren Ziel es ist, das Internet und damit die Wirtschaft zu beeinträchtigen.

Amplifikation und die Folgen

"Wir beobachten derzeit vorsätzliche Angriffe gegen hochrangige Ziele", berichtet auch Paul Vixie, President des Internet Systems Consortium (ISC), das die DNS-Software BIND (Berkeley Internet Name Domain) herstellt. Amplification-Attacken funktionieren aus zwei Gründen: Zum einen lässt sich die IP-Adresse eines PC leicht fälschen, wenn er ein Datenpaket versendet. Zum anderen gibt es Millionen von DNS-Servern, die im Zuge des Recursion-Prozesses jede DNS-Abfrage beantworten, die sie erhalten. Die zentralen Name-Server des Internets, die für die Übersetzung von alphanumerischen Site-Namen (URLs) in IP-Adressen zuständig sind, werden dadurch mit Abfragen überlastet, die gefälschte Absenderadressen enthalten, so dass die Antworten ins Leere laufen müssen.

Um auf diese Weise etwa einen 8-Gbit/s-Angriff zu bewirken, benötige man lediglich 200 Heim-PCs, die via DSL mit dem Internet verbunden seien, rechnet UltraDNS-Techniker Joffe vor. Mit genügend Bots, Abfragen und offenen, rekursiven Servern ließen sich an den jeweiligen Zielsystemen verhältnismäßig leicht Denial-of-Service-Konditionen schaffen. Nach Schätzungen von Joffe wurden bei den bisherigen Attacken rund 50000 rekursive Name-Server genutzt.

Zu den Zielen der Angriffe gehörten UltraDNS selbst, das die Infrastruktur unter anderem für die Top-Level-Domains (TLDs) ".org" und ".uk" betreibt und DNS-Redundanz-Services für Amazon.com und Oracle liefert, sowie Versign, Betreiber der TLDs ".com" und ".net" (siehe auch www.computerwoche.de/ 573593). Würden diese DNS-Schlüsselkomponenten außer Gefecht gesetzt, käme dies einem "Abschalten" des Internets gleich, so Joffe. Läge beispielsweise die TLD ".com" auch nur einen Tag lang brach, hätte dies einen wirtschaftlichen Schaden in Milliardenhöhe zur Folge.

IP-Adressvaluierung gefordert

Für ISC-Chef Vixie allerdings liegt das Hauptproblem weniger in der DNS-Recursion-Funktion als vielmehr in der Möglichkeit, IP-Adressen zu fälschen. Beseitigen ließe sich dieses Manko lediglich mittels Adressevaluierung von Seiten der Internet-Service-Provider (ISPs). "Die Lösung für dieses Problem ist nicht neu", so Vixie. Immerhin verfüge die Netzhardware aller namhaften Anbieter wie Cisco oder Juniper über die Fähigkeit der Quellenverifizierung. In der Praxis allerdings sei diese Funktion - entgegen allseits bekannten Best Practices - meist deaktiviert. "CTOs, Netzbetreiber, ISPs und Sicherheitsverantwortliche müssen diese Schwachstelle und die diesbezüglichen Konfigurationsempfehlungen verstehen", pflichtet ihm Paul Twomey, President der Internet Corporation for Assigned Names and Numbers (Icann), bei. Entsprechende Empfehlungen finden sich auf der Icann-Homepage. (kf)