Rekursive und DNS-Attacken mit Datenmüll
Die rekursiven DNS-Attacken machen sich zunutze, dass ein DNS-Server, der auf eine Anfrage keine Auskunft erteilen kann, versucht, die fehlenden Informationen von anderen DNS-Servern anzufordern. Der Server muss dabei vergleichsweise viele Ressourcen reservieren (CPU-Zyklen, Arbeitsspeicher und Bandbreite), um diese Anfragen weiterzuleiten und zu verwalten. Indem ein Angreifer Informationen zu nicht existierende DNS-Einträgen anfordert, kann er einen DNS-Server leicht überlasten und seinen Ausfall verursachen.
Eine DNS-Attacke mit Datenmüll überflutet den DNS-Server durch das Zustellen großer Datenmengen an den UDP-Port 53 (seltener UDP-Port 80). In jedem Szenario mit der Ausnahme eines DNS-Servers besteht für das Opfer die Möglichkeit, den betroffenen Port zu sperren. Der DNS-Server kann aber nicht den Port sperren, über den er seinen Dienst anbietet.
Anycast zur Verteidigung gegen DNS-Fluten
Bei der Verteidigung von Spamhaus hat CloudFlare, der zuständige Anbieter des Content Delivery Networks (CDN), seinen Kunden mit einem geschickten Trick aus der Affäre gezogen: Mit Hilfe der Adressierungsart
»Anycast«
, mit Lastverteilern und einem eigenen CDN mit Knoten in insgesamt 23 Datenzentren ließ sich die Datenflut in der Wolke abfangen.
Die häufigste Adressierungsart im Internet ist
»Unicast«
, bei der eine eindeutige IP-Adresse zu genau einem Host gehört. Bei Anycast wird dagegen ein und dieselbe IP-Adresse mehreren Hosts zugewiesen und der Router stellt die Datenpakete an denjenigen Host mit der Zieladresse zu, der geografisch am nächsten liegt. Dadurch nehmen die Datenpakete immer den kürzesten Weg und landen dabei nicht auf einem, sondern auf einer Vielzahl von Servern. Im Falle von Spamhaus streute CloudFlare die betroffenen IP-Adressen auf diese Weise über 23 verschiedene Datenzentren. Dort wurde der auf das jeweilige Datenzentrum entfallende Bruchteil der Anfragen erst einmal nach verschiedenen Kriterien gefiltert. Die Datenpakete wurden schließlich erst dann an Spamhaus weitergeleitet, nachdem sie Tests ihrer Legitimität bestanden hatten. So konnte CloudFlare die Spreu vom Weizen trennen und die bösartigen Anfragen verwerfen.
CloudFlare treibt die Anycast-Idee dabei auf die Spitze und weist ein und dieselbe IP-Adresse allen seinen Kunden zu. Diese Strategie, die der Anbieter auf den Namen Global-Anycast-DNS taufte, macht es den Angreifern unmöglich, auf ihr Ziel zu fokussieren. Lastverteiler leiten die Anfragen immer an das nächstgelegene Datenzentrum mit freien Kapazitäten um. So kann kein einzelnes Element der Cloud-Infrastruktur auf Grund der Datenflut zusammenbrechen (kein Single Point of Failure).
Global-Anycast-DNS ist bei CoudFlare bereits im Umfang des Gratis-Basis-Abonnements enthalten. Ähnliche Dienste wie CloudFlare haben auch andere CDN-Anbieter kostenpflichtig im Programm, darunter Akamai, neuStar, OpenDNS und Prolexic.
Ähnliche Artikel
-
Linux-Botnetz XOR DDos attackiert mit bis zu 150 Gbps
Ein XOR DDos getaufter Trojaner hat ein Botnetz aus Linux-Systemen errichtet, das inzwischen Geschwindigkeiten von bis zu 150 Gbps erreicht.
-
Man-in-the-Middle-Attacken aufspüren
-
Britischer Geheimdienst legte IRC-Server lahm
Ein neues Dokument von Edward Snowden verweist auf Angriffe auf das IRC-Netzwerk QuakeNet durch eine geheime Gruppe des britischen Geheimdienstes GCHQ. Dabei kamen offenbar DDoS-Angriffe sowie Social-Engineering-Techniken mit Unterstützung bislang unbekannter Webseiten-Manipulationen zum Einsatz.
-
Akamai Security Report: DDoS-Angriffe verdoppelt
Der neue Internet Security Report von Akamai zeigt einen enormen Zuwachs von Distributed-Denial-of-Service-Angriffen.
-
Gezielte Angriffe auf Unternehmen
Konfigurationsmanagement
Themen
