Threat Update: DDoS durch DNS Amplification Attacks Lukas Feiler, Achim Brock 23. März 2006



Ähnliche Dokumente
How-to: Webserver NAT. Securepoint Security System Version 2007nx

TCP SYN Flood - Attack. Beschreibung Auswirkungen Zuordnung zu Gefährdungskategorie und Attacken-Art Gegenmaßnahmen Quellen

Anbindung des eibport an das Internet

ICS-Addin. Benutzerhandbuch. Version: 1.0

Guide DynDNS und Portforwarding

Konfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler Oktober 2008 Version 1.0.

The Cable Guy März 2004

ISA Server 2004 stellt verschiedene Netzwerkvorlagen zur Einrichtung einer sicheren Infrastruktur zur Verfügung:

Routing und DHCP-Relayagent

Pädagogische Hochschule Thurgau. Lehre Weiterbildung Forschung

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: - Ein Bootimage ab Version Optional einen DHCP Server.

WLAN Konfiguration. Michael Bukreus Seite 1

Anleitung Typo3-Extension - Raumbuchungssystem

ISA Server 2004 Erstellen eines neuen Netzwerkes - Von Marc Grote

Technische Grundlagen von Internetzugängen

Beschreibung einer Musterkonfiguration für PBS-Software in einem WINDOWS 2003 Netzwerk - Rel. 2 (mit NPL Runtime Package Rel. 5.

Root-Server für anspruchsvolle Lösungen

Collax PPTP-VPN. Howto

Rechnernetzwerke. Rechnernetze sind Verbünde von einzelnen Computern, die Daten auf elektronischem Weg miteinander austauschen können.

Seminar: Konzepte von Betriebssytem- Komponenten

Windows 2008R2 Server im Datennetz der LUH

Konfiguration VLAN's. Konfiguration VLAN's IACBOX.COM. Version Deutsch

GEZIELT MEHR SICHERHEIT MIT 4I ACCESS SERVER & 4I CONNECT CLIENT

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Modul 13: DHCP (Dynamic Host Configuration Protocol)

Kurzanleitung. MEYTON Aufbau einer Internetverbindung. 1 Von 11


IRF2000 Application Note Lösung von IP-Adresskonflikten bei zwei identischen Netzwerken

Virtual Private Network

ADSL-Verbindungen über PPtP (Mac OS X 10.1)

Dialup Verbindung und Smarthost einsetzen

mysql - Clients MySQL - Abfragen eine serverbasierenden Datenbank

Konfiguration Firewall (Zyxel Zywall 10) (von Gruppe Schraubenmeier)

Einrichtung des Cisco VPN Clients (IPSEC) in Windows7

Die Post hat eine Umfrage gemacht

Voraussetzungen für die Nutzung der Format Rechenzentrumslösung (Hosting)

Multimedia und Datenkommunikation

Kurzanleitung OOVS. Reseller Interface. Allgemein

Ihren Kundendienst effektiver machen

Der Schalter Eigenschaften öffnet die rechts stehende Ansicht. Internetprotokolle aussuchen

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

Stammdaten Auftragserfassung Produktionsbearbeitung Bestellwesen Cloud Computing

Firewalls für Lexware Info Service konfigurieren

Individuelle Formulare

Folgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert:

1 Mit einem Convision Videoserver über DSL oder ISDN Router ins Internet

Installationsanleitung für pcvisit Server (pcvisit 12.0)

Wireless Installationshandbuch

Windows Server 2008 für die RADIUS-Authentisierung einrichten

Outlook. sysplus.ch outlook - mail-grundlagen Seite 1/8. Mail-Grundlagen. Posteingang

Überprüfen Active Directory und DNS Konfiguration Ver 1.0

Was meinen die Leute eigentlich mit: Grexit?

Hinweise zum Update des KPP Auswahltools (Netzwerkinstallation) auf Version 7.2

How- to. E- Mail- Marketing How- to. Subdomain anlegen. Ihr Kontakt zur Inxmail Academy

MSXFORUM - Exchange Server 2003 > SMTP Konfiguration von Exchange 2003

Anleitung Grundsetup C3 Mail & SMS Gateway V

PTV VISWALK TIPPS UND TRICKS PTV VISWALK TIPPS UND TRICKS: VERWENDUNG DICHTEBASIERTER TEILROUTEN

2 Datei- und Druckdienste

Pflegende Angehörige Online Ihre Plattform im Internet

Wie lege ich Domains unter Windows 2000 Server an? Keyweb AG

CNAME-Record Verknüpfung einer Subdomain mit einer anderen Subdomain. Ein Alias für einen Domainnamen.

Informatik für Ökonomen II HS 09

Netzwerkeinstellungen unter Mac OS X

Ein Hinweis vorab: Mailkonfiguration am Beispiel von Thunderbird

ACHTUNG: Voraussetzungen für die Nutzung der Funktion s-exposé sind:

Klicken Sie mit einem Doppelklick auf das Symbol Arbeitsplatz auf Ihrem Desktop. Es öffnet sich das folgende Fenster.

FTP-Leitfaden RZ. Benutzerleitfaden

Herzlich Willkommen beim Webinar: Was verkaufen wir eigentlich?

Abgesetzte Nebenstelle TECHNIK-TIPPS VON per VPN

Wärmebildkamera. Arbeitszeit: 15 Minuten

Second Steps in eport 2.0 So ordern Sie Credits und Berichte

Diese Anleitung enthält Anweisungen, die nur durch erfahrene Anwender durchgeführt werden sollten!

Professionelle Seminare im Bereich MS-Office

Virtual Private Network

Kommunikations-Parameter

Windows 2008 Server im Datennetz der LUH

Detektion und Prävention von Denial-of-Service Amplification Attacken Schutz des Netzes aus Sicht eines Amplifiers

Wir machen neue Politik für Baden-Württemberg

Um zusammenfassende Berichte zu erstellen, gehen Sie folgendermaßen vor:

Mobile Intranet in Unternehmen

Firewalls für Lexware Info Service konfigurieren

Übersicht. Was ist FTP? Übertragungsmodi. Sicherheit. Öffentliche FTP-Server. FTP-Software

2 Die Terminaldienste Prüfungsanforderungen von Microsoft: Lernziele:

Praktikum IT-Sicherheit

Inhaltsverzeichnis. 1. Empfängerübersicht / Empfänger hinzufügen 2. Erstellen eines neuen Newsletters / Mailings 3. Versand eines Newsletters

Agentur für Werbung & Internet. Schritt für Schritt: -Konfiguration mit Apple Mail

Aufruf der Weboberflache des HPM- Warmepumpenmanagers aus dem Internet TIPPS

Arbeit zur Lebens-Geschichte mit Menschen mit Behinderung Ein Papier des Bundesverbands evangelische Behindertenhilfe e.v.

Forefront Threat Management Gateway (TMG) und Forefront Unified Access Gateway (UAG) Die perfekte Lösung

Application Layer Active Network

NEWSLETTER // AUGUST 2015

ecaros-update 8.2 Update 8.2 procar informatik AG 1 Stand: DP 02/2014 Eschenweg Weiterstadt

Konfiguration des Fernzugriffes auf Eyseo-IP-Netzwerkkameras mittels dynamischer IP-Adresse

ANYWHERE Zugriff von externen Arbeitsplätzen

Live Update (Auto Update)

Installation von horizont 4 bei Verwendung mehrerer Datenbanken

Local Control Network Technische Dokumentation

XEROX SICHERHEITSBULLETIN XRX Eine Schwachstelle im Xerox MicroServer-Webserver könnte zu einem Denial of Service (DoS) führen.

Horstbox VoIP. Stefan Dahler. 1. HorstBox Konfiguration. 1.1 Einleitung

Transkript:

Threat Update: DDoS durch DNS Amplification Attacks Lukas Feiler, Achim Brock 23. März 2006 Inhalt 1. Einleitung: DNS das Domain Name System 2. Technische Beschaffenheit des Angriffs 3. Auswirkungen von DNS Amplification Attacks 4. Strafrechtliche Beurteilung 5. Gegenmaßnahmen 6. Quellen 1. Einleitung: DNS das Domain Name System Das Domain Name System (DNS) ist eine weltweite, dezentrale Datenbank in der Informationen über IP-Adressen und Domainnamen gespeichert werden. Es dient vor allem dazu Domainnamen in IP-Adressen aufzulösen. Das Domain Name System kann zutreffend als verkehrter Baum dargestellt werden: Die in der ersten Ebene des Baumes enthaltene Elemente (hier exemplarisch: com, edu, gov, mil, at) bezeichnet man als Top Level Domains (TLDs) oder First Level Domains. Elemente der zweiten Ebene (z.b. example.com od. ac.at) werden als Second Level Domain bezeichnet. Der dezentrale Aspekt von DNS manifestiert sich in der Möglichkeit die Autorität für sog. Zones delegieren zu können. Die Zone höchster ebene ist die sog. Root-Zone. In dieser ist die Information gespeichert welche DNS-Server die Autorität für die Top-Level-Zones besitzen (z.b. welche DNS-Server die Autorität für die Zone at besitzt). Jeder DNS-Server, der die Autorität für eine Zone hat ist in der Lage ähnlich einem guten Manager bestimmte Teile zu delegieren für andere jedoch selbst die Autorität zu behalten. In folgendem (fiktiven) Beispiel wurde einem bestimmten DNS-Server die Autorität für die Zone tuwien.ac.at zugewiesen. Dieser delegiert nur die Autorität für informatik.tuwien.ac.at an einen anderen DNS-Server. law.tuwien.ac.at bleibt demgegenüber jedoch in der Zone tuwien.ac.at. Wollen 1/6

die Informatiker der TU nun einen neuen Domainnamen z.b. ftp.informatik.tuwien.ac.at anlegen, so können sie dies autonom tun, da sie die Autorität für ihre Zone besitzen. Die Juristen der TU können ohne Zustimmung von zentraler Stelle jedoch keine neue Sub- Domain anlegen, da sich nicht die Autorität für ihre Zone besitzen: Praktischer Hinweis: Die manuelle Auflösung eines Domainnamens in eine IP-Adresse ist mit dem Command-Line-Tool nslookup möglich. Es ist sowohl unter Windows als auch unter Unix/Linux verfügbar. So gibt folgender Befehl die IP-Adresse von www.example.com aus: nslookup www.example.com Der Prozess der Auflösung eines Domainnamens in eine IP-Adresse wird als Name Resolution bezeichnet. Hat ein DNS-Server die Autorität für die Zone aus der der aufzulösende Domainname stammt, so kann er selbst unmittelbar eine Antwort liefern. Wird bei einem DNS-Server jedoch von einem Client (genannt Resolver) um die Auflösung eines Domainnamens angefragt, für den er nicht die Autorität besitzt so bieten sich für ihn zwei Möglichkeiten: 1) Da der befragte DNS-Server die Antwort selbst nicht unmittelbar geben kann, verweist er auf andere DNS-Server. 2) Er führt eine sog. rekursive Anfrage ( recursive query ) aus. Hierbei versucht der DNS-Server selbst die richtige Antwort dadurch zu ermitteln, dass er andere DNS- Server befragt. Den benötigten Einstiegspunkt in das Domain Name System liefern jedenfalls die Root-Name Server. Diese besitzen die Autorität für die Root-Zone und sind daher jedenfalls in der Lage nähere Informationen zu geben. Soll beispielsweise der Domainname tuwien.ac.at aufgelöst werden, so ist es den Root-Name Server jedenfalls möglich auf den bzw. die DNS-Server zu verweisen, die die Autorität für die Zone at besitzen. Diese sind wiederum in der Lage auf die DNS-Server der Zone ac.at zu verweisen, die dann den, für die Zone tuwien.ac.at zuständigen DNS- Server benennen können. Dieser autoritative DNS-Server kann dann befragt werden. Dieser Ablauf ist in der folgenden Abbildung dargestellt: 2/6

Ein DNS-Server, der jedermann die Durchführung von rekursiven DNS-Anfragen ermöglicht wird als Open Resolver bezeichnet. Ein weiterer wichtiger Aspekt von DNS ist die Tatsache, dass Anfragen grundsätzlich unter Verwendung des Protokolls UDP erfolgen. Im Unterschied zu TCP ist UDP kein verbindungsorientiertes sondern ein paketorientiertes Protokoll. Dies hat den Vorteil, dass zum Austausch kleiner Datenmengen, wie sie bei DNS-Anfragen typischer Weise gegeben sind kein expliziter Verbindungsaufbau 1 erfolgen muss. 2. Technische Beschaffenheit des Angriffs Wie andere DDoS (Distributed Denial of Service)-Angriffe bedient sich ein DNS Amplification Attack zweier Maßnahmen: a) der Vergrößerung ( amplification ) der ursprünglich gesendeten Datenmenge b) der Fälschung von Absender-IP-Adressen (IP-Spoofing) Ziel eines DDoS-Angriffes ist es, ein System derart mit Anfragen zu überladen, dass es nicht mehr in der Lage ist auf legitime Anfrage zu antworten. Ein DDoS-Angriff unterscheidet sich von einem gewöhnlichen DoS-Angriff dadurch, dass er verteilt, von mehreren Systemen aus erfolgt. Da die Bandbreite des angegriffenen Systems die, dem Angreifer unmittelbar zur Verfügung stehende Bandbreite idr bei weitem übersteigt, benötigt der Angreifer ein Mittel zur Verstärkung seines Angriffs. Bei klassischen Smurf 2 -Angriffen erfolgte die Verstärkung durch das Senden von ICMP- Paketen vom Typ echo request an eine Broadcast-Adresse, woraufhin jedes der, in dem so bezeichneten Netzwerk befindliche System antwortete. Im Unterschied zu Smurf besteht bei DNS Amplification Attacks die Verstärkung darin, dass DNS-Server auf kleine Request- Pakete mit ausgesprochen großen Response-Paketen antworten können. Lag die maximale Größe eine UDP Response-Pakets nach der ursprünglichen Spezifikation von DNS noch bei 1 Bei TCP durch einen sog. Three-Way-Handshake. 2 vgl. CERT Advisory CA-1998-01, http://www.cert.org/advisories/ca-1998-01.html 3/6

512 Bytes, so wurde sie durch Erweiterungen des Protokolls für IPv6, DNSSEC 3 oder NAPTR 4 auf über 4000 Bytes erhöht. 5 Aus dem Verhältnis eines DNS-Request-Pakets minimaler Größe (60 Byte) und der Größe des Response-Pakets (4000 Bytes) ergibt sich ein theoretischer Verstärkungsfaktor von ca. 70. Die zweite Maßnahme für eine erfolgreichen DNS Amplification Attack besteht darin, die Absender-IP-Adresse der Request-Pakaete zu fälschen. Da DNS auf dem verbindungslosen Protokoll UDP aufbaut, ist dies protokolltechnisch leicht möglich. Die um den Faktor 70 größeren Response-Pakete werden vom DNS-Server dann an die gefälschte Absenderadresse übermittelt. Diese bezeichnet das eigentliche Angriffsziel: Angriffsziel Open Resolvers 3) großer DNS- Response an vermeintlichen Sender DNS-Server des Angreifers 1) Source-Spoofed DNS-Requests 2) DNS-Request & großer DNS-Response Angreifer Wie hier dargestellt, handelt es sich deshalb um einen DDoS-Angriff und nicht um einen gewöhnlichen DoS-Angriff, da mehrere Open Resolver 6 für den Angriff verwendet werden. Jüngst vorgenommenen Untersuchungen 7 zufolge war es möglich 580.000 DNS-Server auszumachen, die als Open Resolvers konfiguriert sind und daher für derartige Angriffe verwendet werden können. Open Resolvers sind erforderlich, um eine Befragung des DNS-Servers des Angreifers zu ermögliche. Auf diesem sind außergewöhnlich große DNS-Records gespeichert, die zu entsprechend großen Response-Pakete führen. Da die Open Resolvers nur bei dem aller ersten Request des Angreifers den DNS-Server des Angreifers kontaktieren, entsteht für diesen nur eine sehr geringe Last. 3 Erdmann/Wegener, Dienstschutz, DNS-Sicherheit: Der Stand der Dinge, ix 12/2005, S. 142; bezügl. einer Liste der einschlägigen RFCs vgl. http://www.dnssec.net/rfc 4 vgl. RFC 2915 5 DNS Amplification Attacks machen sich tatsächlich RFC 2671 zu Nutze um größere Antwortpakete zu erzwingen. 6 Zum Begriff vgl. bereits oben. 7 Dan Kaminsky und Mike Schiffman auf der ShmooCon (2006) Konferenz; http://www.shmoocon.org/speakers.html#kaminsky 4/6

3. Auswirkungen von DNS Amplification Attacks Mit DNS Amplification Attacks ist es möglich sehr effektive DoS-Angriffe durchzuführen. Die, dem Angriffsziel zur Verfügung stehende Bandbreite kann idr weitgehend konsumiert werden. Berichten zufolge 8 wurde in manchen Fällen durch DNS Amplification Attacks bereits ein Datenvolumen von ca. 2,8 Gbps 9 erzeugt. Durch derartige Angriffe ist es daher möglich gezielt einzelne Server bzw. ganze Netze effektiv offline zu bringen. 4. Strafrechtliche Beurteilung Da ein DoS eine schwere Störung der Funktionsfähigkeit eines Computersystems darstellt, ist Eventualvorsatz vorausgesetzt eine Strafbarkeit gem. 126b StGB zweifellos zu bejahen. Auf Grund des IP-Spoofings und der großen Verfügbarkeit von Open Resolvers stehen der Strafverfolgung jedoch erhebliche faktische Hindernisse entgegen. 5. Gegenmaßnahmen Sich als Unternehmen vor DNS Amplification Attacks zu schützen gestaltet sich deshalb äußerst schwierig, da alle konventionelle Anti-(D)DoS-Maßnahmen grundsätzlich nicht vor einer gänzlichen Konsumption der Bandbreite schützen. 10 Um DNS Amplification Attacks grundsätzlich zu verhindern, gilt es die Anzahl der Open Resolvers zu reduzieren. Dies ist jedoch angesichts ihrer Anzahl ein äußerst langwieriger Prozess. Eine weitere Maßnahme, die nicht nur gegen DNS Amplification Attacks, sondern auch andere DDoS-Attacks wie Smurf wirksam wäre und schon lange von Experten gefordert wird, besteht darin IP-Spoofing durch entsprechendes Engress-Filtering 11 seitens der Access Provider gänzlich zu unterbinden. Denn übermittelt ein Access Provider nur Datenpakete ins Internet, die Absenderadressen des eigenen Netzwerkes tragen, ist IP-Spoofing für Kunden dieses Access Providers effektiv nicht mehr möglich. Eine solche Maßnahme würde einen erheblichen Beitrag zur allgemeinen Sicherheit des Internets leisten. 6. Quellen US-CERT, The Continuing Denial of Service Threat Posed by DNS Recursion, http://www.us-cert.gov/reading_room/dns-recursion121605.pdf Erdmann/Wegener, Dienstschutz, DNS-Sicherheit: Der Stand der Dinge, ix 12/2005, S. 142 Vaughn/Evron, DNS Amplification Attacks, March 17, 2006, http://isotf.org/news/dns- Amplification-Attacks.pdf CERT statistic mentioned in US-CERT document: http://cyber.law.harvard.edu/icann/mdr2001/archive/pres/cert.pdf Northcutt/Zeltser/Winters/Fredrick/Ritchey, Inside Network Perimeter Security: The Definitive Guide to Firewalls, Virtual Private Networks (VPNs), Routers, and Intrusion Detection Systems, Sams, Indiana 2002 8 Vaughn/Evron, DNS Amplification Attacks, 2 9 2,8 Giga-Bits pro Sekunde, d.h. 2.800.000.000 Bits, dies entspricht ca. 333 MB (Mega Byte) pro Sekunde 10 Puppe/Maier, Von allen Seiten, Maßnahmen gegen Distributed-Denial-of-Service-Angriffe, ix 4/2005, S. 107 11 Northcutt/Zeltser/Winters/Fredrick/Ritchey, 36 f 5/6

University of Oregon, Computing Center, http://cc.uoregon.edu/cnews/winter2006/recursive.htm (CIAC 1999) J-063: Domain Name System (DNS) Denial of Service (DoS) Attacks, http://www.ciac.org/ciac/bulletins/j-063.shtml SANS NewsBites, Volume 8, Issue 23, 21. März 2006, http://www.sans.org/newsletters/newsbites/newsbites.php?vol=8&issue=23#202 RFCs Vixie, Extension Mechanisms for DNS (EDNS0), RFC 2671, 1999, ftp://ftp.rfc-editor.org/innotes/rfc2671.txt Mealling/Daniel, The Naming Authority Pointer (NAPTR) DNS Resource Record, RFC 2915, 2000, ftp://ftp.rfc-editor.org/in-notes/rfc2915.txt Mailing Lists: dns-operations http://lists.oarci.net/pipermail/dns-operations/2006-march/000338.html bugtraq http://marc.theaimsgroup.com/?l=bugtraq&m=114123795230123&w=2 Mediale Berichterstattung: Große Welle von mysteriösen DoS-Attacken im Netz, 18. März 2006, Der Standard, http://derstandard.at/?url=/?id=2382759 Kawamoto, New denial-of-service threat emerges, 17. März 2006, CNET News.com, http://www.zdnetasia.com/news/security/printfriendly.htm?at=39344151-39000005c Vijayan, VeriSign reveals details of DDoS assaults, 17. März 2006, Computerworld (US online), http://www.techworld.com/security/news/index.cfm?newsid=5586 Attacks target Internet traffic cops, 16. März 2006, CNN, http://www.cnn.com/2006/tech/internet/03/16/internet.attack.ap/index.html 6/6

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback