© everythingpossible - Fotolia.com

DNS Amplification Attack

Vor einiger Zeit wurde ich gefragt, ob die Pressemeldungen rund um die DNS Amplification Attack auf Spamhaus übertrieben waren und ob wirklich das Internet am Rande der Leistungfäigkeit stand. Das Besondere an der damals verwendeten, relativ einfachen DNS Reflection/ Amplification Attacke ist der Effekt, dass sich mit wenig Traffic seitens des Angreifers relativ große Mengen Traffic auf Seite des Opfers generieren lassen. Ziel dieser Attacke ist die Überlastung eines bestimmten Services oder der Netzwerkanbindung des Servers.

Größere Bekanntheit hat die DNS Amplification Attack beim Angriff auf den Dienstleister Spamhaus Anfang 2013 erlangt. Die großen Nachrichtenportale haben sich damals mit Übertreibungen gegenseitig übertrumpft, manche Portale sprachen gar von einem Stau im gesamten Internet.

DNS Amplification Attack als Uebersicht

Die DNS Amplification Attack im Detail

Bei einem Angriff dieser Art wird ausgenutzt, dass DNS Server bei relativ kleinen Anfragen teilweise große Datenmengen zurücksenden.

Sichtbar wird die Dimension bei etwa dieser Anfrage:

# dig any ripe.net

Wird diese Anfrage gestellt, antwortet der Server:

;; Truncated, retrying in TCP mode.

; <<>> DiG 9.8.1-P1 <<>> any ripe.net
;; global options: +cmd
;; Got answer:
;; ->>HEADER<;; flags: qr rd ra; QUERY: 1, ANSWER: 26, AUTHORITY: 6, ADDITIONAL: 16

;; QUESTION SECTION:
;ripe.net.			IN	ANY

;; ANSWER SECTION:
ripe.net.		3600	IN	RRSIG	DNSKEY 5 2 3600 20130818100221 20130719090221 60338 ripe.net. ISb1UTbbG7BaiA7uvcfoSpgRUSYPfwT9AIJ5OtZGrnxo1faLMSqMqmMi Fi9w6OMOVj8f1l2iUkNdbKU0pYJoe/wRzyzitSfYT3Qt9D5uSMmx2bSZ yLP8vtH4kIcatEmpuPyyA+nmeovpzfrNVqmflENvb2mFrgY5vqBzIObG JAwSWl3sy59RTCfl8e//n/QDPJW5+LeIlJeuVZXMfOQnh4gB3CHUCxmS T/Aufa6kMQobhRe3W8WQEUEBs9H6t79TsrpzoSPA0zKeyf5cR2//Ose2 pU/EIZHB8OAcSwGR5ruVc9iWgxKJ29uD4wwvOP54JUfW5y4eQJ/vZn3d N/Y+kw==
ripe.net.		3600	IN	RRSIG	SOA 5 2 3600 20130818100221 20130719090221 30100 ripe.net. Uxt4iB9ETcgskVa5Qd+sW9RK9kekZ931jhsFdw+gm4dfeOmFpr9KluhJ FcRO30e43grvChHAddUpdSAYamSFi79WgYyIVfAgGmqG8/16MfkDhnyM KWNjQw8dkqaNNQ6mNVGS4/x+4Ub7ccqTlEZ7WwT4Ax/x4CM0zoRB20/j A7g=
ripe.net.		300	IN	RRSIG	NSEC 5 2 300 20130818100221 20130719090221 30100 ripe.net. E45G566tET34S+9pfdKDFBJAcfC66TnJj2RIHRlb2SATCQH8SfRZkuCS 82jyBADlNyy9XVjMa8Tm8rbqVIrkG3upwF56ommU9PqeN+ctGXA8p8p0 wq46wDulXWBsf3wi1+aFA1bX6DYNdk0IuqWiy508XAmufJs5pWHqynvY tsE=
ripe.net.		300	IN	RRSIG	MX 5 2 300 20130818100221 20130719090221 30100 ripe.net. MqStbFb88bqwaxNwTwafx/iW9AitVOHL8GeSUts3UoV2YNTpI8lywQ1q 4wqU7G2q1bAIEWx7LKZKyAQhGX1a2NFV4VKrvlBdGJewgkjF0jni+NJR vGVBHcIJEeoRTh/mISSNSB58EpL/vnjtpJ8kBVTZgAjohNmqqku0VfiF 46Q=
ripe.net.		300	IN	RRSIG	AAAA 5 2 300 20130818100221 20130719090221 30100 ripe.net. b5yX9Xfc+RLAPcAR1UGxEZLNr19dcDDqBiy12J9ogs9Xve6ofK3Tu852 6ZTrBzI7tpZvbEfjbk8xIhjgeOTC6LRRX8l+N05kUEW6JGGoNHCPN5LH /uyHh/Cw80NKwXdKq+3LhCgtKqv5JxJI/yEimYnaAekV/vf9VMp+xZE3 SL8=
ripe.net.		21600	IN	RRSIG	A 5 2 21600 20130818100221 20130719090221 30100 ripe.net. Vus+N9VI/F7pq6GS/1vCj2JPeeVfJ9/UjpUooGHTg3LZPmecU/Pa4D73 BYmRsXenSOFm2W7gIVHEDb7KOkIEjMu9kXePsJzT3e8cFkik76OILcM+ 2rMJ86c4HvOEhhBlRI5DNdfzfpQvxOfhpmCCUZuIqZ7qRJfP6gaB6yp+ NQw=
ripe.net.		3600	IN	DNSKEY	257 3 5 AwEAAXf2xwi4s5Q1WHpQVy/kZGyY4BMyg8eJYbROOv3YyH1U8fDwmv6k BVxWZntYtYUOU0rk+Y7vZCvSN1AcYy0/ZjL7cNlkc3Ordl2DialFHPI6 UbSQkIp3l/5fSWw5xnbnZ8KA7g3E6fkADNIEarMI4ARCWlouk8GpQHt1 1wNW1c65SWB8i958WZJ6LI0pOTNK+BIx8u98b+EVr7C08dPpr9V6Eu/7 3uiPsUqCyRqMLotRFBwK8KgvF9KO1c9MXjtmJxDT067oJoNBIK+gvSO9 QcGaRxuGEEFWvCbaTvgbK4E0OoIXRjZriJj8LXXLBEJen6N0iUzj8nqy XSCm5sNxrRk=
ripe.net.		3600	IN	DNSKEY	257 3 5 AwEAAYSPd7+AJXOT1k1d6eUKRCsw5cSGpzsWIjVCDjbWdNomt4mCh5of SSnf60kmNCJgeCvPYwlOWX08TPLpCHqvBh8UERkaym8oT0U2lKrOt+0W EyksYc5EnLp7HQVvH+KaF8XiuPsemLLNbhosGofv5v0Jj2TKxJI/sgf1 n9WtkMY1bCTTaSUn5GmjKDv0XRPKkzA4RCQv8sl8pZ2pzJvIxpN0aBgx WtRjWXXJ27mUq6+PR7+zgBvLkmSV4F1bNXOgikeN5KBlutEKBKYYcYRb fR5kDYYJ0mV/2uTsRjT7LWNXAYAJ88xuZ4WcBV01EuMzsZU21iGhRO1N Z4HFSr9jb3U=
ripe.net.		3600	IN	DNSKEY	256 3 5 AwEAAYP6pXZrRIZ3HR2DH0sVcVNuZ7i0auvkg/eC8jRdRgYSmdbKc/5g cw9JxGwc2wAWYkiABsbOsClTFpfL6rRlGyfByCwTvd99EKIcakHBcZr5 yf1T9U3uN0kQttVKktZ9t861vSi0v1mkAfzVW3CHcReDzRHILB5t9IGN wwAJNY3H
ripe.net.		3600	IN	DNSKEY	256 3 5 AwEAAYTMP3H6p6sF6BTMDOfS5XiH6gJ8/mYiz9mapk8kkbEaaagEHW0r 9Jn837glK0OQerJ9X+MUEefF8kVr+f8W6Ymvw4vmmxS4Uq1g4roEYoaV 5SZWiG82iwvC7oFVG9XAWn+jt5g2gCSDgI9wjzmoAvpWEz77AHnVSIMO hQeBFDgV
ripe.net.		300	IN	NSEC	256cns.ripe.net. A NS SOA MX AAAA RRSIG NSEC DNSKEY
ripe.net.		300	IN	MX	200 postgirl.ripe.net.
ripe.net.		300	IN	MX	250 postlady.ripe.net.
ripe.net.		249	IN	AAAA	2001:67c:2e8:22::c100:68b
ripe.net.		21549	IN	A	193.0.6.139
ripe.net.		3600	IN	SOA	pri.authdns.ripe.net. dns.ripe.net. 1374159302 3600 600 864000 300
ripe.net.		3600	IN	RRSIG	NS 5 2 3600 20130818100221 20130719090221 30100 ripe.net. UNpMMLFTnXWvq/dIz/i8p1jgAfQBVAOaMtvgoUszeuickWY1s7xBiuvR 2/mpZI5r8ibFqr21A0iad5t5Vm4f58zIGJrELx68C3zn+Qjj0mb/l9VU nK+X+dbVy7CgG+co75aBcv08YojcHvZwWyC/wZRbGJOgn2FekYGSuwaz QKQ=
ripe.net.		368	IN	NS	sns-pb.isc.org.
ripe.net.		368	IN	NS	sec3.apnic.net.
ripe.net.		368	IN	NS	pri.authdns.ripe.net.
ripe.net.		368	IN	NS	ns3.nic.fr.
ripe.net.		368	IN	NS	sec1.apnic.net.
ripe.net.		368	IN	NS	tinnie.arin.net.
ripe.net.		83392	IN	RRSIG	DS 8 2 86400 20130725041736 20130718030736 55565 net. AKFZGJchG/Rs5pABA2NS18th1zvo41AxoBGpjU24WiK9haSgiYss7TCy XF5W/g5UG/DDNZL7GyXWyUYJz9thF6EDlM8YXhjbK5ZHCGbNoZXshi2D KGpgBBQQeJ4WkbRJpiI1oUPZW1Pfsu9Izg0qWbTWMTNgf+k88qb0m4fB saw=
ripe.net.		83392	IN	DS	60338 5 2 61D99D98D0C374C1157F73282DB3E29E61E365DD9EBA435802D27A69 847C24FC
ripe.net.		83392	IN	DS	60338 5 1 1CB13971FC7D4DF7CB3C6EB82DF0868687FE6371

;; AUTHORITY SECTION:
ripe.net.		368	IN	NS	ns3.nic.fr.
ripe.net.		368	IN	NS	tinnie.arin.net.
ripe.net.		368	IN	NS	sec3.apnic.net.
ripe.net.		368	IN	NS	pri.authdns.ripe.net.
ripe.net.		368	IN	NS	sns-pb.isc.org.
ripe.net.		368	IN	NS	sec1.apnic.net.

;; ADDITIONAL SECTION:
postgirl.ripe.net.	21549	IN	A	193.0.19.66
postgirl.ripe.net.	21549	IN	AAAA	2001:67c:2e8:11::c100:1342
postlady.ripe.net.	21549	IN	A	193.0.19.65
postlady.ripe.net.	21549	IN	AAAA	2001:67c:2e8:11::c100:1341
ns3.nic.fr.		48220	IN	A	192.134.0.49
ns3.nic.fr.		48220	IN	AAAA	2001:660:3006:1::1:1
pri.authdns.ripe.net.	591	IN	A	193.0.9.5
pri.authdns.ripe.net.	591	IN	AAAA	2001:67c:e0::5
sec1.apnic.net.		1320	IN	A	202.12.29.59
sec1.apnic.net.		1320	IN	AAAA	2001:dc0:2001:a:4608::59
sec3.apnic.net.		1985	IN	A	202.12.28.140
sec3.apnic.net.		1985	IN	AAAA	2001:dc0:1:0:4777::140
sns-pb.isc.org.		998	IN	A	192.5.4.1
sns-pb.isc.org.		998	IN	AAAA	2001:500:2e::1
tinnie.arin.net.	14514	IN	A	199.212.0.53
tinnie.arin.net.	14514	IN	AAAA	2001:500:13::c7d4:35

;; Query time: 52 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sat Jul 20 00:30:09 2013
;; MSG SIZE  rcvd: 3181

Einen Großteil des Inhalts machen die DNSSEC Daten aus, Signaturen, welche die Korrektheit der DNS Daten garantieren und vor Cache Poisoning Attacken schützen sollen.

Die Größe der oberen Anfrage beträgt etwa 30 byte, die Größe der Antwort beträgt bereits 3181 byte. Dies enstpricht einem Multiplikator von etwas über 106! Für jedes gesendete Byte werden also bei einer DNS Amplification Attack durch die DNS Server also knapp 106 Byte zum Opfer gesendet. In der Graphik habe ich einen Multiplikator von 100 zu Grunde gelegt.

Normalerweise wird die Antwort an den Absender der Anfrage gesendet. Wird die Anfrage an den Server nun jedoch unter einer falschen ("gespooften") Quelladresse versendet, bekommt das Opfer die Antwort, ohne nach dieser gefragt zu haben. Mit Hilfe dieser Angriffsart können schnell einige GBit Traffic für einen Angriff generiert werden.

In einem weiteren BLOG Posting werde ich sowohl die Möglichkeiten des Opfers, als auch die Möglichkeiten des Nameserver-Betreibers erläutern, um nicht unfreiwillig Teil einer DNS Amplification Attack zu werden.

Bildnachweis:

  • Beitragsbild: © everythingpossible - Fotolia.com

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert