WSHowTo - DNS Amplification Attack vs. DNS Response Rate Limiting Windows Server Inhalt. Der Angriff eine DNS Amplification Attacke

Ähnliche Dokumente
[DNS & DNS SECURITY] 1. DNS & DNS Security

Server DNS-Socketpool und RRL konfigurieren

Technische Praxis der Computersysteme I 2. Vorlesung

1 Die Namensauflösung mit

Stefan Dahler. 1. Konfiguration von Extended Routing. 1.1 Einleitung

ISA Server 2004 IP-Einstellungen definieren - Von Marc Grote

Übung - Mit Wireshark eine UDP-DNS-Aufzeichnung untersuchen

Lehrgangsnetz (Geräteansicht)

1 Umstellung auf die autoritativen Name Server und DNS Resolver

Seminar: Konzepte von Betriebssytem- Komponenten

Botnetz DoS & DDoS. Botnetze und DDoS. Ioannis Chalkias, Thomas Emeder, Adem Pokvic

Security. Stefan Dahler. 4. Internet Verbindung. 4.1 Einleitung

Konfiguration von Policy-basiertem QoS ab Windows Server 2008

Netzwerk Linux-Kurs der Unix-AG

DATENÜBERTRAGUNG HACH LANGE LABORMESSGERÄTE VIA ETHERNET

(Distributed) Denial of Service

Grundlagen Rechnernetze und Verteilte Systeme IN0010, SoSe 2018

Windows Cockpit Konfiguration Montag, 23. November :59

Installation und Konfiguration des Netzwerkhardlocks

Site-to-Site VPN über IPsec

Netzwerkinstallation unter Windows 9x

ESTOS XMPP Proxy

ESTOS XMPP Proxy

Die Masterarbeit hat drei große Kapitel: 1) Einführung in IPv6, 2) IPv6 Security Attacken, 3) Testlabor mit Testergebnissen der Firewalls TÜV

Office Line, Supportinformationen

Kommunikation im lokalen Netz

STUN/TURN Server Topologien. Best Practice

Also, ich gedenke jetzt auf Facebook und vielleicht meiner Homepage die Netzwerkkomponenten etwas vor zu stellen. Bzw. die

Support 26. Januar 2001

SQL Server Verbindungsprobleme SQL Server Alle cobra Versionen

OCSP-STAPLING: Der aktuelle Stand der Sperrlisten

OPENService Dokumentation. Oracle 10.2 Client Installation (Benutzerdefiniert ohne Patch)

Installationsanleitung

The Cable Guy März 2004

NTCS Synchronisation mit Exchange

telpho10 Update 2.1.6

Name: ARP - Spoofing Datum: Vorname: Aufgaben- und Informationsblatt Seite 1/4

Anleitung Server-Installation Capitol V14.1

NAT Network Adress Translation

XEROX SICHERHEITSBULLETIN XRX Eine Schwachstelle im ESS/Netzwerkcontroller könnte potenziell unberechtigten Zugriff gewähren.

Fehler: [ ] Es konnte keine gültige Lizenz vom Network License Manager bezogen werden. Apr Support

knxpresso IP-Interface

NAT - und Firewall-Einstellungen am Beispiel eines Exposed Host zum IPv4-Zugriff aus dem WAN

CalDAV mit Advolux verwenden

Informationssammlung NETWORKING ACADEMY DAY 2017 REGENSTAUF

Security + Firewall. 4.0 PPTP Client Einwahl. 4.1 Szenario

L2TP/IPsec VPN-Verbindung unter Windows 8 zur Synology DiskStation einrichten

INSTALLATIONSANLEITUNG der Version 2.6

ADS-Fehlermeldung»6420/6610«beheben

DMXface ACTIVE SEND mit RS232

Gruppen Di-T14 / Mi-T25

(Distributed) Denial-of-Service Attack. Simon Moor Felix Rohrer Network & Services HS 12

Protokolle & Dienste der Anwendungsschicht. DNS Domain Name System

Mindbreeze InSpire. Management Center ... Support : Tel.:

TeamViewer Handbuch Wake-on-LAN

Switching. Übung 9 EAP 802.1x. 9.1 Szenario

Übung - Verwenden von IOS CLI bei der MAC-Addresstabelle eines Switches

Thomas Schön Albert-Ludwigs-Universität Freiburg

Übung 4 DNS & E- Mail 21. November Laborübungen NWTK. Informationstechnologie für Berufstätige

Ether S-Net Diagnostik

TimeMachine. Time CGI. Version 1.5. Stand Dokument: time.odt. Berger EDV Service Tulbeckstr München

Master Seminar. Fortgeschri2ene anomaliebasierte Erkennung von Network Layer Angriffen

Übung - Anzeigen von Host-Routing-Tabellen

Avamboo GmbH Avamboo Encrypt. SICHERE MIT Avamboo Encrypt. für Outlook 2010 / 2013 / Handbuch

mygekko Net Tutorial mygekko Net Datenaustausch zwischen mygekkos Version Softwareversion: ab V4316

Schnellanleitung Rekorder:

IaaS Handbuch. Version 2

antrano Fernzugriffslösungen einfach gemacht becom Systemhaus GmbH & Co. KG antrano Handbuch Seite 1

1. DNSSEC Monitoring 2. DNSSEC Monitoring Tests 3. externe Monitoring Programme 2. 1

DOSNET SMURF ATTACK EVIL TWIN

Mailserver Teil 1 Linux-Kurs der Unix-AG

Portal-Dokumentation. becom Systemhaus GmbH & Co. KG Antrano.Production Portal-Handbuch Seite 1

ARP-Spoofing & Man in the Middle Angriff erkennen - ARP-Cache auslesen mit Netzwerkprotokoll ARP & ArpWatch

Datenblatt. Fax-to-html Mailer 1.02 für Tobit David

Geschrieben von: Administrator Dienstag, den 10. März 2015 um 10:18 Uhr - Aktualisiert Dienstag, den 10. März 2015 um 10:34 Uhr

Packetsniffer. Jens Zentgraf. 26. Juli Zentgraf Packetsniffer 26. Juli / 21

HowTo SoftEther Site-2-Site (Client-Bridge)

DynDNS für Strato Domains im Eigenbau

Docusnap X - Windows Firewall Ausnahmen. Windows Firewall Ausnahmen für Docusnap konfigurieren

Bridge/Bridge with AP Modus einrichten mit 3x DAP-1160

Resolver! DNS: Liefert Resolver cached Antwort (mit Flag Time To Life, TTL)

G DATA MailSecurity & Microsoft Exchange Server 2013

Anwendungshinweis Nr. 9. Wie wird eine bidirektionale OPC-Kommunikation mit OPC-Tunnel erstellt?

PROJEKTIEREN DER HW UND DER VERBINDUNGEN...

Konfiguration Agenda Anywhere

Handbuch Internet. So gehts!

Bestellsoftware ASSA ABLOY Matrix II

Das Default Gateway ist ein Verteiler (Router), welches euch ermöglicht andere Netzte zu erreichen z.b. Internet.

Tutorübung zur Vorlesung Grundlagen Rechnernetze und Verteilte Systeme Übungsblatt 6 (27. Mai 31. Mai 2013)

:57:41 DoS (Denial of Service) Angriff RateFloodUdpInput wurde entdeckt. (FW101) :56:44 DNSv6-Fehler: Der angegebene

Erweiterte Konfiguration Agenda Anywhere

Installieren und Verwenden des Document Distributor 1

Hardo Naumann LISA Schnittstelle Zusammenarbeit von EBÜS mit dem Leitstellensystem LISA von Dr. Pfau Fernwirktechnik GmbH

Filius Simulation von Netzwerken

WibuKey Dongle Hilfe. Camprox OHG 2018

Mechanismen für die Autokonfiguration

ATHENA INSTALLATIONS- ANLEITUNG IHRE DIGITALE ASSISTENZ. Beraten Sie Ihre Patienten rechtskonform und papierlos mit dem ipad. AUFKLÄRUNG & ANAMNESE

Benutzerhandbuch. Workshops (Auszug) Sicherheits- und Administrations-Workshops. Benutzerhandbuch. bintec elmeg GmbH

4. Network Interfaces Welches verwenden? 5. Anwendung : Laden einer einfachen Internetseite 6. Kapselung von Paketen

ATM LAN Emulation. Prof. Dr. W. Riggert

Transkript:

Inhalt Der Angriff eine DNS Amplification Attacke... 1 DNS als gutgläubiger Netzwerkdienst... 1 Schema einer DNS Amplification Attacke... 2 Beispielszenario eines Angriffes... 4 Ein Schutz - Response Rate Limiting?... 6 Was ist RRL und wie funktioniert es?... 6 Beispielszenario eines Angriffes mit aktiviertem RRL... 6 Katz und Maus... 8 Der Angriff eine DNS Amplification Attacke DNS als gutgläubiger Netzwerkdienst Die Namensauflösung im Netzwerk ist zentraler Bestandteil aller Infrastrukturen (was geht ohne?). Und DNS ist als Service aktuell die Komponente, mit der die Namen in IP-Adressen (und umgekehrt) aufgelöst werden. Dennoch ist DNS schon einige Tage alt und verwendet einige Mechanismen, die durch Angreifer ausgenutzt werden können. Ein DNS prüft nicht, welches System ihm eine Anfrage stellt. Er sucht nach einer Antwort und sendet diese an das System zurück: Über das Netzwerk werden dafür Pakete zwischen dem Client und dem DNS-Server ausgetauscht. Der DNS-Client sendet an seinen DNS-Server via UDP an dessen Port 53 eine Anfrage (hier ausgelöst durch einen Ping auf www.adatum.com): Seite 1 von 8

Der DNS-Server antwortet auf die Anfrage: Bei der Anfrage verwendet der Server die IP-Adresse des DNS-Clients und dessen QuellPort. Und natürlich wird im lokalen Netzwerk auch die MAC-Adresse des DNS-Clients verwendet. Der DNS-Server arbeitet auf diese Weise alle Anfragen brav ab. Er prüft nicht, WER ihn etwas fragt Schema einer DNS Amplification Attacke Und das kann ein möglicher Angriffsvektor sein. Angenommen, ein Angreifer sendet ein UDP-Paket mit einer Anfrage an einen DNS und fälscht darin seine IP-Adresse. Wer wird wohl die Antwort auf die Frage erhalten? Richtig: der aktuelle Eigentümer der gefälschten IP! OK, der Client, der keine Anfrage gestellt hat wird die Antwort des DNS-Servers ignorieren. Was aber, wenn der Angreifer nicht nur eine Anfrage sendet, sondern tausende pro Sekunde. Und was wäre, wenn der Angreifer ein Botnetz verwendet, um JEWEILS tausende Anfragen pro Sekunde an verschiedene DNS-Server zu senden jedes mal mit der gefälschten IP- Adresse seines Opfers? Richtig: das wird ein Denial of Service Opfer DNS EVIL Das ist dann aber nur ein Distributed Denial of Service. Ein Angreifer kann noch weiter gehen und durch die richtigen Abfragen sehr große Antworten von den DNS-Servern provozieren. Er verstärkt den Angriff, was als Amplification bezeichnet wird. Diese Anfrage kostet den Angreifer 74 Bytes. Seite 2 von 8

Das Opfer erhält ein 90 Bytes Antwortpaket: Findet der Angreifer einen großen Record und fragt diesen ab, dann ist seine Anfrage immer noch recht klein. Aber das Opfer wird geflutet. Die Frage kostet den Angreifer 96 Bytes. Die Antwort ist aber schon 1283 Bytes groß DNSSEC verschärft das Szenario noch zusätzlich. Die nächste Abfrage ist absolut identisch mit der im vorherigen Bild. Zusätzlich habe ich auf dem DNS-Server DNSSEC konfiguriert: Seite 3 von 8

Und hier kommt das Ergebnis beim Client. Nun ist die Antwort schon 1430 Bytes groß: Beispielszenario eines Angriffes Ein kleines LAB soll das Problem sichtbar machen. Ich verwende 3 Server: einen DNS-Server (LON-DC1 mit der IPv4 172.16.0.10), ein Opfer (LON-SVR1 mit der IPv4 172.16.0.11) und einen Angreifer-Server (LON-SVR5 mit der IP 172.16.1.5) LON-SVR1 172.16.0.11/16 DNS LON-DC1 172.16.0.10/16 EVIL LON-SVR5 172.16.1.5/16 Auf dem Angreifer-Server verwende ich das Tool Hyenae, um die DDOS-Atacke zu starten. Diese sendet extrem viele Anfragen im Auftrag von Server LON-SVR1 an den LON-DC1. Und dieser wird LON-SVR1 auch brav antworten. Seite 4 von 8

Und so geht s. Auf LON-SVR5 bringe ich Hyenae in Stellung. Als Source verwende ich die MAC und die IPv4 von LON-SVR1 (mein Opfer). Als Destination verwende ich die MAC und die IPv4 vom DNS-Server: Der Record ist mein LargeRecord ein dicker TXT-Eintrag mit DNSSEC bei etwa 1400 Bytes größe pro Antwort!!! Auf LON-SVR1 verwende ich WireShark, um die Antworten vom DNS-Server zu sehen. Und los geht s: Mein Opfer hat Glück, dass die einfache Version nur Host-A-Records abfragen kann. Da sind die über 500.000 Antworten in 21 Sekunden nur etwa 70 MB statt 700 MB groß. Und es war nur 1 DNS! Ich denke, das Problem ist nun klar Seite 5 von 8

Ein Schutz - Response Rate Limiting? Was ist RRL und wie funktioniert es? Die Antwort hat Microsoft in den DNS-Service ab Windows Server 2016 eingebaut: Response Rate Limiting. Dabei wird der Server prüfen, welcher Client wie oft eine Anfrage stellt. Wenn das Anfrageaufkommen einen Schwellwert überschreitet, dann werden die Antworten für einen Zeitraum gedrosselt. Es wird also nicht mehr jede Anfrage beantwortet. ACHTUNG: Falsch konfiguriert wird so ein Denial Of Service für alle Clients und Server vorprogrammiert sein!!! Leider wurde die Option nicht in die grafische Oberfläche eingebaut. Die Steuerung ist nur über die PowerShell möglich: Es sind bereits einige Einstellungen per default gesetzt. Die Aktivierung von RRL fehlt aber noch: Dann aktivieren wir doch RRL einmal. Nach einer Bestätigung und einer Warnung, das RRL falsch konfiguriert selbst ein Denial of Service für DNS bewirken kann, ist das neue Feature aktiviert: Beispielszenario eines Angriffes mit aktiviertem RRL Dann bleibt nur noch ein ausstehender Test von RRL. Das Szenario ist das gleiche wie im ersten Kapitel: LON-SVR5 startet mit Hyenae eine DOS-Attacke und sendet dabei sehr viele DNS-Anfragen im Auftrag von LON-SVR1 an den DNS-Server: Seite 6 von 8

Auf LON-SVR1 läuft derweil wieder WireShark und schneidet für uns die Antworten des DNS-Servers mit. Der Test läuft auch etwas mehr als 20 Sekunden. In dieser Zeit hatte der DNS-Server ohne RRL über 500.000 Antworten gesendet. Und mit RRL? Jetzt sind es noch etwas über 5000 Antworten von DNS-Server an das Opfersystem! Und so funktioniert es: der DNS-Server sendet per Default mit aktiviertem RRL nur 1024 identische Antworten in einem Zeitraum von 5 Sekunden an einen Client, der identische Fragen stellt: Und das sind in 25 Sekunden eben etwas mehr als 5000 Antwortpakete. Seite 7 von 8

Katz und Maus Leider genügen die Mechanismen von RRL nur bestimmten Rahmenbedingungen. Und diese setzen neben gleichen Absender-IP-Adressen auch gleiche MAC-Adressen voraus. Nur in der Kombination wird ein Client eindeutig gekennzeichnet. Wenn ich in Hyenae nun einen Parameter der Attacke ändere (gefälschte MAC-Adressen) dann versagt RRL, da der DNS-Server nicht mehr einen Client sondern ganz viele Clients erkennt. Und jeder bekommt in einem Zeitfenster die 1024 Standardantworten: Dennoch kann RRL einen Teil des Angriffsvektors vereiteln. Es lohnt sich also, diese Funktion zu evaluieren! Seite 8 von 8

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback