Was ist so schlimm am NXNSAttack DNS-Verstärkungsangriff?
Wie wurde der NXNSAngriff auf DNS-Dienste bemerkt?
Im Mai 2020 wurde der NXNSAttack von den Cybersecurity-Forschern der Universität Tel Aviv als neuer DDoS-Angriff auf DNS-Server identifiziert. Der NXNSAttack nutzt die Schwachstelle bei rekursiven DNS-Resolvern aus und löst einen Verstärkungsangriff auf andere rekursive DNS-Server und autoritative DNS-Server um das bis zu 1.620-fache der ursprünglichen Auflösungsanfrage aus. Ein solch hoher Verstärkungsfaktor sollte Besitzer von DNS-Infrastrukturen und DNS-Server-Manager beunruhigen.
Wie wirkt sich der NXNSAttack auf DNS-Dienste aus?
In einem typischen rekursiven DNS-Namensauflösungsprozess könnte der autoritative DNS-Server eine IP-Adresse zum Hostnamen in der DNS-Abfrage an den rekursiven DNS-Auflöser zurücksenden oder eine NS-Verweisantwortung zurücksenden, um die Aufgabe der Namensauflösung weiter zu delegieren. Im Falle des Empfangs der IP-Adresse sendet der rekursive DNS-Auflöser die aufgelöste IP-Adresse an den Client und schließt den Namensauflösungsprozess ab. Beim Empfang einer NS-Referral-Antwort folgt der rekursive DNS-Auflöser der Delegation und sendet die ursprüngliche DNS-Anfrage an den delegierten DNS-Server, um die Namensauflösung abzuschließen. Allerdings enthält nicht jede NS-Referral-Antwort den delegierten DNS-Server und seine IP-Adresse (Glue Record). Um die IP-Adresse des delegierten DNS-Servers aufzulösen, muss der rekursive DNS-Auflöser eine weitere Namensauflösung starten, bevor er die ursprüngliche abschließen kann.
Wie in dem vom Forschungsteam veröffentlichten NXNSAttack-Papier beschrieben, tritt die Schwachstelle auf, wenn die NS-Referral-Antwort eine lange Liste delegierter DNS-Server enthält, aber keine Glue-Records. Dadurch wird der rekursive DNS-Resolver dazu gebracht, viele neue DNS-Anfragen zu senden, was als Amplification-DDoS-Angriff bekannt ist. Um diese Schwachstelle auszunutzen, kann der Angreifer einen autoritativen DNS-Server so einrichten, dass er auf jede Anfrage mit einer langen Liste von delegierten DNS-Servern, aber ohne Glue-Records antwortet. Die Liste der delegierten DNS-Server könnte verschiedene Subdomain-DNS-Server einer Domäne enthalten, wenn der Angreifer versucht, eine bestimmte Domäne zu schädigen, oder beliebige DNS-Server, wenn der Angreifer versucht, die gesamte DNS-Infrastruktur lahmzulegen. Der Angreifer kann diesen NXNSAttack initiieren, indem er einige böswillige Bots anweist, DNS-Anfragen für den Domänennamen des vom Angreifer kontrollierten autoritativen DNS-Servers zu senden und den DNS-Dienst des Opfers mit Hunderten oder Tausenden von weiteren böswilligen DNS-Anfragen anzugreifen.
Welche Möglichkeiten haben wir, NXNSAttack zu begegnen?
Wie vom Forschungsteam vorgeschlagen, können Hersteller von DNS-Software und Dienstanbieter verschiedene Maßnahmen ergreifen, um sich gegen den NXNSAttack zu schützen und zu verhindern, dass ihre DNS-Server für den NXNSAttack verwendet werden. Allerdings kann man nicht davon ausgehen, dass diese Maßnahmen ausreichend sind. Eigentümer von DNS-Infrastrukturen und DNS-Server-Manager sollten ihre DDoS-Schutzlösung implementieren, um ihre DNS-Dienste vor NXNSAttacken zu schützen. Die folgenden DNS-Abwehrstrategien sollten in Betracht gezogen werden:
- Blockieren gefälschter Zonenanfragen
- FQDN-Struktur begrenzen
- Begrenzung der FQDN-Abfragerate
- Begrenzung der Abfragerate durch Überprüfung der Spoof-Quelle
- Autoritativer DNS-Cache
- Erkennung von Zero-Day-Angriffsmustern
Wie A10 helfen kann
Obwohl es sich bei NXNSattack um eine neue Art von DNS-Verstärkungsangriff handelt, kann das A10 Thunder® Threat Protection System (TPS®) die oben aufgeführten Verteidigungsstrategien zum Schutz vor dieser Art von Cyberangriff und allen anderen DDoS-Angriffen einsetzen, die Ihre DNS-Dienste zum Erliegen bringen könnten.