NXNSAttack: Ein neuer DDoS-Angriff auf rekursive DNS-Resolver
Der Zweck eines DDoS-Angriffs (Distributed Denial of Service) besteht darin, einen Online-Dienst daran zu hindern, ordnungsgemäß zu funktionieren, indem ein Zieldienst, z. B. ein Webserver, so überlastet wird, dass gültige Benutzer entweder eine schlechte Leistung erfahren oder, im Extremfall, überhaupt keine Verbindung zum Zieldienst herstellen können. Unabhängig vom Ausmaß eines Cyberangriffs sind die Folgen Dienst- und Umsatzeinbußen, was für E-Commerce-Websites besonders problematisch ist. Ein DDoS-Schutz ist daher von entscheidender Bedeutung für die Gewährleistung der Geschäftskontinuität und die Risikominimierung, bevor Ihr Unternehmen von einem Cyberangriff betroffen ist.
Das Schlimmste an DDoS-Angriffen ist jedoch, dass gerade dann, wenn Sie Ihren DDoS-Schutz gegen bekannte Angriffe aufgebaut haben, ein weiterer neuer Angriff hinzukommt. Dies war der Fall bei NXNSAttack, einem DNS-DDoS-Angriff, der sich eine eingebaute Schwäche des Domain Name System (DNS) zunutze macht.
NXNSAttack, ein neuer Reflexionsangriff
NXNSAttack ist eine Art von Denial-of-Service-Angriff, der als "Reflection Attack" bezeichnet wird. Bei Reflexionsangriffen wird ein Drittanbieterdienst genutzt, um den DDoS-Angriffsverkehr zu einem Opfer zu leiten. Der Angreifer sendet Pakete mit einer gefälschten Quell-IP-Adresse, die auf die IP-Adresse des Opfers eingestellt ist, und fordert beispielsweise die Uhrzeit von einem Network Time Protocol (NTP)-Server an. Der Drittanbieterdienst fungiert als Spiegel und sendet die Antwortpakete an das Opfer und nicht an den Angreifer. Wenn es genügend Antwortpakete gibt, wird der Dienst des Opfers verlangsamt oder sogar völlig überlastet, so dass er überhaupt nicht mehr erreichbar ist.
Starten eines NXNSAttack-Angriffs
Um einen NXNSAttack-DNS-Angriff durchzuführen, müssen die Angreifer Zugang zu einem Domänennamenserver haben, den sie kontrollieren und der für eine ihnen gehörende Domäne autorisierend ist; nennen wir diese Domäne attack.com. Als Nächstes stellen die Angreifer eine DNS-Anfrage an einen DNS-Server eines Drittanbieters für die IP-Adresse eines Geräts in einer Subdomain von attack.com, zum Beispiel sub1.attack.con.
Da der DNS-Server des Drittanbieters nichts über attack.com weiß, sendet er eine Anfrage an den DNS-Server, der der Root-Server für .com-Domänen ist, und bittet um die IP-Adresse des autoritativen DNS-Servers für die Domäne attack.com. Der DNS-Server des Drittanbieters bittet dann den autoritativen DNS-Server des Angreifers, die Adresse von sub1.attack.com aufzulösen.
Wäre der maßgebliche DNS-Server von attack.com ein normaler DNS-Server, würde er einfach die IP-Adresse eines Rechners in seiner eigenen Domäne zurückgeben. In diesem Fall antwortet der DNS-Server von attack.com jedoch mit den Worten "Ich weiß es nicht, fragen Sie diese Server" und stellt eine Liste nicht vorhandener DNS-Server in der Domäne zur Verfügung, die angegriffen wird (nennen wir diese Domäne victim.com). Diese nicht existierenden DNS-Server werden aufgelistet, um einfach DNS-Anfragen zu generieren, und der DNS-Server des Drittanbieters stellt diese Anfragen dann bereitwillig aus.
Der Domänennamendienst und rekursive Auflöser
Um die Leistung des Dienstes zu optimieren, wurden viele DNS-Server so konzipiert, dass sie rekursiv auflösen, d. h. sie versuchen, die IP-Adresse jedes DNS-Servers aufzulösen, den sie erhalten, damit die IP-Adressen zwischengespeichert werden können und der Server sie nie wieder auflösen muss. Der DNS-Server des Drittanbieters fragt nun also den Root-.com-Server nach der IP-Adresse des autoritativen DNS-Servers für victim.com und fordert die Auflösung jedes der gefälschten Nameserver an.
Da alle vom DNS-Server des Angreifers bereitgestellten DNS-Servernamen gefälscht sind, überhäuft der DNS-Server des Drittanbieters den autoritativen DNS-Server für victim.com mit Anfragen zur Auflösung von IP-Adressen, wodurch sich die Anzahl der DNS-Anfragen um das 10- bis 20-fache erhöht; dies wird als Verstärkungsfaktor bezeichnet. Bei einem groß angelegten NXNSAngriff verwenden die Angreifer zwei Stufen der Umleitung vom Nameserver des Angreifers, um die Anzahl der Anfragen zu quadrieren und einen erstaunlichen Verstärkungsfaktor von 1.620 zu erreichen. Der daraus resultierende Cyberangriffsverkehr, der von nur wenigen Computern erzeugt wird, kann die DNS-Server des Opfers leicht überfordern, so dass deren Systeme nicht mehr aufgelöst werden können und somit der Dienst verweigert wird.
Der DNS-Angriff NXNSAttack wurde Mitte Mai 2020 von israelischen Forschern entdeckt, und einige DNS-Anbieter haben bereits Korrekturen veröffentlicht. In der Praxis sind jedoch zusätzliche DDoS-Schutzmaßnahmen erforderlich, um sicherzustellen, dass die Folgen dieser Art von Cyberangriffen minimiert werden.
Wie kann A10 helfen, DDoS-Angriffe zu entschärfen?
Ein Angriff wie NXNSAttack kann überwältigend sein und Ihr Unternehmen zum Stillstand bringen. Das Thunder® Threat Protection System (TPS® ) von A10 verwendet jedoch fortschrittliche Abwehrstrategien, die vor allen Arten von Cyberangriffen schützen, einschließlich neuer, neuartiger DDoS-Angriffe.
Wenn Sie mehr erfahren möchten, laden Sie den vollständigen Bericht " The State of DDoS Weapons" ( A10 Networks ) herunter, einen Leitfaden zu den wichtigsten IoT-Port- und Reflektorsuchen, die von Angreifern durchgeführt werden, sowie die dazugehörige Infografik " DDoS Weapons & Attack Vectors".