Denial of Service

So funktionieren DDoS-Angriffe

17.01.2017
Von Alfredo Vistola

DNS-Angriffe

Das Domain Name System (DNS) übersetzt Namensanfragen (www.example.com) in numerische IP-Adressen (wie 192.168.204.201). Nahezu alle Clients verwenden DNS-Abfragen, um einen gewünschten Dienst auf einem Server zu erreichen. Fällt das DNS aus, sind alle Web- und E-Mail-Anwendungen nicht mehr zu erreichen. Dieser "Single-Point-of-Failure" macht das DNS zu einem verlockenden Ziel für Angreifer.

Typen von DNS-Angriffen auf DoS/DDoS-Basis

  • Einfache Netzwerkangriffe: Wird das zugrunde liegende Host-Betriebssystem des DNS-Servers nicht richtig "gehärtet" oder durch spezielle Firewall-Technologie geschützt, kann es leicht Opfer der beschriebenen "einfachen" Netzwerkangriffe werden. So könnte beispielsweise ein SYN-Flooding-Angriff den DNS-Server daran hindern, legitime Anfragen der Clients zu beantworten und somit Anwendungen außer Gefecht setzen.

  • Malformed UDP Paket Storms: Ein DNS-Server wird mit fehlerhaften UDP-Paketen bombadiert. Um diese Anfragen zu beantworten und jedes UDP-Paket zu validieren, verbraucht er Hardware- und Betriebssystemressourcen. Stehen ihm diese nicht mehr zur Verfügung, startet sich der Server meist komplett neu (Reboot) oder beginnt damit, Pakete zu verwerfen und die Anfragen abzulehnen, ganz gleich, um welche Art von Anfragen es sich handelt.

  • Legitime Anfragen für Hosts, die nicht existieren: Bei diesem Angriff senden verteilte Clients "gefälschte" legitime Anfragen an DNS-Server. Jede Anfrage zur Namensauflösung enthält einen zufällig erstellten Hostnamen, der aber nicht existiert - beispielsweise smbvruz367498.com. Der "lokale" DNS-Server, dem ein solcher Name nicht bekannt ist und er ihn entsprechend nicht im Cache vorliegen hat, muss weitere Ressourcen einsetzen, um andere DNS-Server (authoritative DNS) zu befragen, ob der Host dort bekannt ist und so weiter. Weil nun viele Ressourcen gebunden sind, kann es zu Störungen in den DNS-Diensten kommen.

Zur Startseite