Was ist eine DNS Amplification Attack?
Die DNS Amplification Attack (deutsch „DNS-Verstärkungsangriff“) ist eine Art DDoS-Angriff (Denial-of-Service-Angriff). Der Angreifer nutzt falsch konfigurierte Nameserver und leitet riesige Datenströme auf den Internetanschluss des Opfers weiter. In der Folge ist dessen Internetanschluss überlastet und kann nicht mehr verwendet werden.
Wo liegt das Problem?
Bei der Angriffsform dienen DNS-Server als Verstärker. Der Grund: DNS-Server antworten auf kleine Anfragen mit sehr großen Datagrammen. Eine DNS-Anfrage mit einer Größe von 30 Bytes kann ein Antwortdatagramm mit einer Größe von bis zu 4.000 Bytes erzeugen. Der Datenverkehr steigt also um mehr als das Hundertfache. Ein sehr großer Angriff dieser Art fand beispielsweise im November 2014 auf die Infrastruktur von Nachrichtenagenturen in Hongkong statt. Dabei verursachten 250 Millionen DNS-Pakete pro Sekunde eine Datenverkehrsspitze von 500 Gbit/s.
Wie funktioniert eine DNS Amplification Attack?
Meist hat der Angreifer Zugriff auf ein fernsteuerbares Botnetz. Zudem korrumpiert er einen Nameserver wie „beispiel.de“ und hinterlegt dort einen gefälschten DNS-Record und großem Antwortdatagramm. Nun werden von den Botnetz-Rechnern DNS-Anfragen an die offenen DNS-Resolver gestellt und der TXT-Record der Domäne „beispiel.de“ abgefragt. Der offene DNS-Resolver findet den Nameserver und ruft den korrumpierten TXT-Record ab. Jetzt werden die verstärkten DNS-Antwortpakete an das Angriffsziel weitergeleitet, da der Absender der DNS-Anfragen durch die Botnetz-Rechner gefälscht ist. Damit lässt sich beispielsweise ein Onlineshop über Stunden außer Gefecht setzen. Wirksame Möglichkeiten zur Verhinderung des Missbrauchs des eigenen DNS-Servers für eine DNS Amplification Attack gibt es kaum. Allerdings können Tools zur Überwachung des Datenverkehrs Anomalien erkennen und den Datenfluss kontrollieren.