Schutz des DNS bei DDoS-Angriffen

DNS

In der Welt des DDoS-Schutzes spielt DNS eine essentielle Rolle. Ohne DNS ist keine Website erreichbar, die nicht direkt über die Eingabe einer IP adressierbar wäre. Selbst die wenigsten Administratoren kennen die Adressen ihrer Maschinen auswendig. Ohne DNS also keine Website, kein Verkauf, kein Umsatz.

Wie sichere ich meinen DNS ab?

Erstens, einen eigenen DNS-Server zu betreiben ist unter dem Gesichtspunkt der minimalen Angriffsfläche nicht zu empfehlen. Wie auch schon in einem vorherigen Posting erwähnt, ist die Verteidigung immer nur so stark wie das schwächste Glied der Defensivkette. In der Praxis haben wir es konkret erlebt, dass ein Kunde den HTTP-Layer mit myracloud erfolgreich abgesichert hatte; die Angreifer legten aber binnen weniger Minuten dann die gesamte DNS-Infrastruktur des Hosters lahm. Dabei schützt selbst die Wahl eines renommierten Hosters nicht; bei dem Hoster standen bis zum nächsten Morgen die Telefone nicht still, weil viele große Kunden betroffen waren. Ein einfacher BIND-Server schafft ein paar tausend Anfragen die Sekunde; wieviele Anfragen kann ein begabter Angreifer produzieren? Leicht ein paar Millionen — und zwar jede Sekunde. So ist die Konnektivität der Seite deutlich eingeschränkt bis alle DNS-Caches die neuen myracloud-Nameserver kennen, was beim DeNIC aufgrund der Default-Time-To-Live von einem Tag entsprechend lange dauern kann.

Daraus ergibt sich eine klare und eindeutige Empfehlung zugunsten von Diensten, die hochperformante DNS-Server anbieten. Per Anycast kann DNS außerdem geographisch verteilt werden, so dass der Erstkontakt mit einer Website beschleunigt wird.

Zweitens, DNS-Server und dabei sowohl authoritative wie auch offene Resolver (=alle im Internet sichtbaren) werden nicht selten zu Angriffen auf dritte Parteien genutzt. Durch das Fälschen der Absenderadresse kann ein Angreifer jederzeit so tun als würde das UDP-Paket nicht von ihm selbst, sondern von einer nahezu beliebigen IP-Adresse kommen. Je nach Art der Abfrage kann der Angreifer so einen Lawineneffekt starten, der die meisten Systeme im Internet in der Lage ist zu überrollen. Verstärkt wird das noch durch den Selbst-DoS-Effekt; System A schickt mit gefälschter Absender-Adresse Z ein Paket an B. B antwortet mit größerem Paket an Z. Z kann damit nichts anfangen und schickt das große Paket mit Fehlermeldung an B zurück. So wird zusätzliche Bandbreite bei B verbraucht. Nicht selten meldet sich der Betreiber von Z und beschwert sich bei B über einen “Angriff”, was entsprechend auch zu juristischen Folgen führen kann.

Hier ist unsere Empfehlung: Betreiben Sie keinen Open-Resolver. Wenn Sie einen Open-Resolver betreiben, dann bauen Sie Rate-Limiting ein. Letzteres gilt auch für Server, die nicht rekursiv auflösen, sondern nur Daten einzelner Zonen ausliefern (sogenannte authoritative NS). Wenn nur eine der Zonen einen größeren Datensatz beinhaltet (z.B. viele MX und einen SPF TXT) kann Ihr Server ansonsten direkt als Datenschleuder missbraucht werden. Dabei hilft die Implementierung von Rate Limiting sowie das Aussperren der missbrauchten Abfragetypen, soweit dadurch keine negative Beeinflussung der legitimen Dienste geschieht. Beim Rate Limiting ist darauf zu achten, dass durch gefälschte Absenderadressen kein Speicherlimit erreicht wird.

Unterm Strich gilt aber auch hier: Der mit der größeren Bandbreite gewinnt.

Dieser Beitrag wurde unter Allgemein abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.