Angriffe auf und über das Domain Name System (DNS) nehmen stetig und immer weiter in ihrer Heftigkeit zu. Erst vor wenigen Wochen gab es einen Artikel im Blog, der im Rahmen von DDoS Angriffen das Thema DNS Angriffe kurz angerissen hat. Grund genug auf dem Hintergrund der jüngsten Ereignisse dem Thema DNS Angriffe einen eigenen Artikel zu widmen und die aktuellen Entwicklungen hier zu beleuchten.
Das Domain Name System (DNS) ist die Achillesferse des Internets und der lokalen Netzwerke. Alle Verbindungen sind primär oder sekundär von der Namensauflösung abhängig. Zudem lässt sich das DNS durch seinen Aufbau selbst und die Verwendung des UDP Protokolls zudem noch für groß angelegte DDoS Angriffe ausnutzen. Diese Angriffe können sich gegen das DNS selbst oder auch gegen andere Systeme bzw. Organisationen richten.
Die Bandbreiten von Anbindungen und die Leistungsfähigkeit von Systemen nehmen stetig zu und sind auf einem Niveau, dass (D)DoS Angriffe schon von wenigen Angreifen einen sehr großen Effekt haben. Im Fall des DNS kommen hochperformante Root-Server Cluster mit Anbindungen von hohen Bandbreiten und 30 Millionen offene DNS Server im Internet dazu. Dass die Root-Server jedem Antworten müssen liegt in der Natur der Sache, jedoch wird hier schon laut darüber nachgedacht dies zu ändern. In den vergangenen Tagen haben sich einige Betreiber der Root-Server dazu geäußert. Es gibt Aussagen vom Einsatz immer stärkere Systeme über das Ausfiltern bestimmter Anfragen oder Responce Rate Limits (RRL) bis hin zur Überarbeitung des Protokolls oder so genannter Trust-Cookies. Aber alles ist keine wirkliche Lösung des Problems in Anbetracht der vielen offenen Resolver. Vielmehr gilt es hier zu überlegen, wie man die Betreiber der offenen Resolver dazu bekommt endlich ihre Systeme abzusichern. Auch stellt sich die Frage wie viele wissen denn, dass sie einen „Open Resolver“ bereitstellen?
Da dies weder kurz noch mittelfristig gelöst werden kann, ist es umso wichtiger sich Gedanken zu machen, wie man sich vor solchen Angriffen schützen kann. Es ist nur eine Frage der Zeit, bis solche Angriffe nicht mehr nur über das Internet stattfinden, sondern diese auch im LAN von Unternehmen stattfinden werden. Ein solches Szenario ist kein theoretisches Konstrukt, sondern eine echte Bedrohung die unfreiwillig schon stattgefunden hat. Eine Support-Applikation die auf einem normalen Windows Client installiert war, hat durch einen Bug mehrere hundert DNS-Request’s in der Sekunde erzeugt und dies über einen Zeitraum von ein paar Minuten. Dies hat dazu geführt, dass im LAN die DNS Server und auch der DNS-Proxy auf der Firewall unter voller Last gestanden haben, weil die Systeme natürlich versucht haben die Anfragen ihrer Clients zu beantworten.
Die Folge davon waren massive Auswirkungen auf das LAN und auch auf den Perimeter. Durch die hohe Last der DNS Server haben diese für die anderen Clients nicht mehr passend geantwortet und der DNS Proxy der Firewall ebenfalls nicht. Dazu kam eine ungewöhnlich hohe Last im Netzwerk und auch auf den Schnittstellen der Systeme. Im Endeffekt waren die Internet-Anbindung und alle öffentlichen Dienste sowie das interne LAN davon massiv betroffen. Ausgelöst durch ein paar wenige Clients, die sich an einer Hand abzählen lassen. Dieses Beispiel zeigt nur zu gut, wie einfach und wie wenig Aufwand erforderlich ist um hier im internen Netz einen Angriff durchzuführen der die komplette IT Infrastruktur beeinträchtigt. Daher ist es nur eine Frage der Zeit, bis sich diese Art der (D)DoS Attacke vom Internet in das lokale LAN verlagert. Viel Schadcode ist dafür gar nicht notwendig. Ein paar Code-Schnipsel, die diese Anfragen generieren reichen völlig aus. Auf die Antworten muss man ja als Angreifer nicht warten, es geht ja nur darum genügend Anfragen zu erzeugen. Dies sollte aber in Zeiten der ressourcenstarken Clients und Multi-Gigabit Netzwerken kein Problem mehr sein.
In Anbetracht der 30 Millionen offenen DNS Resolver ist es mal wieder mehr als nur erschreckend, wie leichtsinnig und unbedarft sich hier viele Administratoren und die die es gerne sein möchten verhalten. Dies zeigt auch wieder, welchen Stellenwert die Sicherheit und vor allem das Sicherheitsbewusstsein in vielen IT Umgebungen haben.
Bei Fragen zum Thema DNS Absicherung und DDoS Angriffe stehen wir wie gewohnt zur Verfügung.