Der ADMIN 05/13 wirft einen Blick auf die frei verfügbaren Cloud-Frameworks von Eucalyptus über OpenNebula bis OpenStack. Gute Aussichten für skalierbare ... (mehr)

Rekursive und DNS-Attacken mit Datenmüll

Die rekursiven DNS-Attacken machen sich zunutze, dass ein DNS-Server, der auf eine Anfrage keine Auskunft erteilen kann, versucht, die fehlenden Informationen von anderen DNS-Servern anzufordern. Der Server muss dabei vergleichsweise viele Ressourcen reservieren (CPU-Zyklen, Arbeitsspeicher und Bandbreite), um diese Anfragen weiterzuleiten und zu verwalten. Indem ein Angreifer Informationen zu nicht existierende DNS-Einträgen anfordert, kann er einen DNS-Server leicht überlasten und seinen Ausfall verursachen.

Eine DNS-Attacke mit Datenmüll überflutet den DNS-Server durch das Zustellen großer Datenmengen an den UDP-Port 53 (seltener UDP-Port 80). In jedem Szenario mit der Ausnahme eines DNS-Servers besteht für das Opfer die Möglichkeit, den betroffenen Port zu sperren. Der DNS-Server kann aber nicht den Port sperren, über den er seinen Dienst anbietet.

Anycast zur Verteidigung gegen DNS-Fluten

Bei der Verteidigung von Spamhaus hat CloudFlare, der zuständige Anbieter des Content Delivery Networks (CDN), seinen Kunden mit einem geschickten Trick aus der Affäre gezogen: Mit Hilfe der Adressierungsart »Anycast« , mit Lastverteilern und einem eigenen CDN mit Knoten in insgesamt 23 Datenzentren ließ sich die Datenflut in der Wolke abfangen.

Die häufigste Adressierungsart im Internet ist »Unicast« , bei der eine eindeutige IP-Adresse zu genau einem Host gehört. Bei Anycast wird dagegen ein und dieselbe IP-Adresse mehreren Hosts zugewiesen und der Router stellt die Datenpakete an denjenigen Host mit der Zieladresse zu, der geografisch am nächsten liegt. Dadurch nehmen die Datenpakete immer den kürzesten Weg und landen dabei nicht auf einem, sondern auf einer Vielzahl von Servern. Im Falle von Spamhaus streute CloudFlare die betroffenen IP-Adressen auf diese Weise über 23 verschiedene Datenzentren. Dort wurde der auf das jeweilige Datenzentrum entfallende Bruchteil der Anfragen erst einmal nach verschiedenen Kriterien gefiltert. Die Datenpakete wurden schließlich erst dann an Spamhaus weitergeleitet, nachdem sie Tests ihrer Legitimität bestanden hatten. So konnte CloudFlare die Spreu vom Weizen trennen und die bösartigen Anfragen verwerfen.

CloudFlare treibt die Anycast-Idee dabei auf die Spitze und weist ein und dieselbe IP-Adresse allen seinen Kunden zu. Diese Strategie, die der Anbieter auf den Namen Global-Anycast-DNS taufte, macht es den Angreifern unmöglich, auf ihr Ziel zu fokussieren. Lastverteiler leiten die Anfragen immer an das nächstgelegene Datenzentrum mit freien Kapazitäten um. So kann kein einzelnes Element der Cloud-Infrastruktur auf Grund der Datenflut zusammenbrechen (kein Single Point of Failure).

Global-Anycast-DNS ist bei CoudFlare bereits im Umfang des Gratis-Basis-Abonnements enthalten. Ähnliche Dienste wie CloudFlare haben auch andere CDN-Anbieter kostenpflichtig im Programm, darunter Akamai, neuStar, OpenDNS und Prolexic.

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2022