Was ist ein DNS-Amplification-Angriff?

Ein DNS-Amplification-Angriff ist eine Form eines Distributed-Denial-of-Service-Angriffs (DDoS), bei dem öffentlich zugängliche DNS-Server missbraucht werden. Der Angreifer nutzt die Tatsache aus, dass DNS-Antworten größer sind als die entsprechenden Anfragen, um die Wirkung seines Angriffs zu verstärken und mehr Daten an das beabsichtigte Ziel zu senden.

Lesen Sie das E-Book Weitere Informationen

Wie funktioniert ein DNS-Amplification-Angriff?

DNS-Amplification-Angriffe funktionieren, indem sie durch IP-Spoofing mehr Daten an das Ziel senden, als ein Angreifer aussendet. Der böswillige Akteur stellt eine Anfrage an einen legitimen Dienst, etwa einen DNS-Server, wobei die IP-Adresse als die des Opfers gefälscht wird.

Der Dienst sendet die Antwort an diese Adresse. Da bei Amplification-Angriffen Protokolle zum Einsatz kommen, deren Antworten größer sind als die entsprechende Anfrage, kann der Angreifer mehr Bandbreite seines Ziels verbrauchen, als er bei seinen volumetrischen Angriffen verwendet.

DNS-Amplification-Angriffe nutzen offene DNS-Resolver, um die Effektivität eines DDoS-Angriffs zu verbessern. DNS ist aus mehreren Gründen eine beliebte Wahl für Amplification-Angriffe, unter anderem:

Faktor Beschreibung Vorteil für Angreifer
UDP-Nutzung DNS verwendet häufig UDP, bei dem die Handshake-Verifizierung fehlt. Einfacheres IP-Spoofing für Angreifer.
Vertrauenswürdiges Protokoll DNS ist ein grundlegendes Internetprotokoll, das häufig durch eine Firewall zugelassen wird. Umgehen Sie die Firewall-Filterung basierend auf dem Protokolltyp.
Größere Antworten DNS-Antworten enthalten alle angeforderten Daten, die die Anforderungsgröße überschreiten. Verstärkt das an das Ziel gesendete Datenvolumen.
Konfigurierbare Antworten Angreifer können riesige DNS-Einträge erstellen und so ihren Schaden noch weiter vergrößern. Maximiert die Wirkung des Angriffs.
Legitime Anfragen Bei Angriffen können legitime Domänen ausgenutzt werden, wodurch die Filterung auf Grundlage von Domänennamen wirkungslos wird. Schwer vom echten Verkehr zu unterscheiden.

Die Auswirkungen eines DNS-Amplification-Angriffs

DNS-Amplification-Angriffe sind ein Beispiel für einen volumetrischen DDoS-Angriff. Das Ziel dieser Angriffe besteht darin, das Ziel mit so viel Spam-Verkehr zu überfluten, dass dessen gesamte Netzwerkbandbreite oder andere knappe Ressourcen (Rechenleistung usw.) verbraucht werden.

Durch die Verwendung von DNS zur Verstärkung kann ein Angreifer ein Ziel überwältigen und dabei nur einen Bruchteil der durch seinen Angriff verbrauchten Ressourcen verwenden. DDoS-Angriffe zielen häufig darauf ab, einen Zieldienst offline zu schalten. Wenn der Angreifer alle verfügbaren Ressourcen nutzt, stehen den legitimen Benutzern keine mehr zur Verfügung, wodurch der Dienst unbrauchbar wird.

Allerdings können auch Angriffe kleineren Ausmaßes negative Auswirkungen auf ihre Ziele haben …

Auch wenn ein Dienst nicht vollständig offline geht, kann eine verschlechterte Leistung negative Auswirkungen auf die Kunden haben. Darüber hinaus kosten alle durch den Angriff verbrauchten Ressourcen das Ziel Geld und bringen dem Unternehmen keinen Gewinn.

Strategie zur Abwehr von DNS-Amplification-Angriffen

Hier ist die Abwehrstrategie gegen diese DNS-Angriffe:

  • Quell-IP-Überprüfung: DNS-Amplification-Angriffe erfordern, dass der Angreifer IP-Spoofing durchführt. Durch die Quell -IP- Überprüfung kann dieser gefälschte Netzwerkverkehr identifiziert werden, sodass die Organisation ihn blockieren kann.
  • Stateful Packet Filtering: DNS-Amplification-Angriffspakete sind DNS-Antworten ohne entsprechende Anforderung. Durch die Überwachung des Status von DNS-Verbindungen können diese bösartigen Anfragen identifiziert und blockiert werden, bevor sie das Zielsystem erreichen.
  • Ratenbegrenzende DNS-Antworten: DNS-Amplification-Angriffe basieren darauf, dass der Angreifer das Ziel mit einer großen Menge an DNS-Antworten überfluten kann. Durch eine Ratenbegrenzung der DNS-Datenmenge, die einen Computer erreichen darf, kann dieser vor diesem Angriff geschützt werden.

Diese Maßnahmen dienen dem Schutz der Ziele derartiger Angriffe.

Die allgemeine Bedrohung lässt sich auch dadurch eindämmen, dass man den Zugriff auf DNS-Resolver kontrolliert, um zu verhindern, dass sie für diese Angriffe verwendet werden.

So wehrt Check Point DNS-Amplification-Angriffe ab

Indem ein Angreifer den Verstärkungseffekt des DNS ausnutzt, kann er einen weitaus größeren Angriff starten, als dies direkt möglich wäre. Allerdings ist DNS nicht die einzige verfügbare DDoS-Verstärkungsoption und auch nicht die mit dem größten Verstärkungsfaktor.

Zum Schutz vor DNS-Amplification und anderen DDoS-Angriffen ist eine DDoS-Minderungslösung erforderlich, die den Angriffsverkehr und den legitimen Datenverkehr filtern kann, bevor dieser den Zielserver erreicht.

Check Point Quantum DDoS Protector bietet Echtzeit-Angriffserkennung und -Prävention für DDoS-Angriffe mit bis zu 800 GB/s und sorgt so für robusten Schutz vor der DDoS-Bedrohung. Weitere Informationen zu Quantum DDoS Protector und seinen Funktionen finden Sie in diesem Datenblatt.

Loslegen

DDoS Protection 

Der ultimative Leitfaden für Ransom Denial of Service (RDoS)

Auswahl der richtigen DDoS-Lösung eBook

Next Generation Firewall

Verwandte Themen

Was ist DNS-Sicherheit?

DNS (Domänen-Namensserver)

DDoS-Angriff

IoT Security

DoS vs DDoS

×
  Feedback
Diese Website verwendet Cookies für ihre Funktionalität sowie für Analyse- und Marketingzwecke. Mit der weiteren Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen finden Sie in unserem Cookies Hinweis.
OK