• IT-Karriere:
  • Services:

NXNSAttack: Effizienter Angriff auf Nameserver

Eine neue Form von Denial-of-Service-Angriff nutzt die DNS-Architektur, um mit wenig Aufwand viel Serverlast und Traffic zu erzeugen.

Artikel von veröffentlicht am
DNS-Serverbetreiber sollten Sicherheitsupdates installieren - eine neue Form von Denial-of-Service-Angriff kann die Server sonst lahmlegen.
DNS-Serverbetreiber sollten Sicherheitsupdates installieren - eine neue Form von Denial-of-Service-Angriff kann die Server sonst lahmlegen. (Bild: Victorgrigas, Wikimedia Commons/CC-BY-SA 3.0)

Forscher der Universität Tel Aviv haben heute einen neuartigen Angriff auf DNS-Server vorgestellt, den sie NXNSAttack nennen. Sie nutzen dabei die rekursiven Eigenschaften von DNS, um einen sehr effizienten Denial-of-Service-Angriff durchzuführen. Alle Hersteller gängiger DNS-Server stellen Updates bereit, die den Angriff abschwächen.

Stellenmarkt
  1. Information und Technik Nordrhein-Westfalen (IT.NRW), Düsseldorf
  2. dmTech GmbH, Karlsruhe

Die Forscher hatten nach eigenen Angaben zunächst beobachtet, dass DNS-Anfragen deutlich mehr Datenverkehr erzeugten, als man naiverweise erwarten würde. Der Grund dafür sind die Auflösungen der Nameserver selbst.

Die Nameserver-Hostnamen müssen selbst aufgelöst werden

Nameserver waren in der Vergangenheit sowohl häufig Opfer von Denial-of-Service-Angriffen als auch Werkzeuge. Durch sogenannte Amplification-Angriffe können die Nameserver genutzt werden, um wiederum andere Systeme anzugreifen. Der NXNS-Angriff ist eine neue Variante eines Amplification-Angriffs.

DNS-Resolver - gemeint sind damit die Nameserver, die direkt von mit dem Internet verbundenen Geräten genutzt werden - arbeiten Anfragen rekursiv ab, beginnend bei den Root-Nameservern des Internets. Von jedem Nameserver kann die Anfrage an andere Nameserver weitergeleitet werden.

Wenn ein Nameserver etwa die Domain example.org auflöst, wird er zunächst an die Nameserver von .org verwiesen und erfährt dort wiederum mehrere Nameserver von example.org. Die Nameserver selbst sind allerdings auch wieder Hostnamen, die ebenfalls aufgelöst werden müssen. Im Regelfall lösen Resolver alle verfügbaren Nameserver auf, meist sind für Domains drei oder vier Nameserver verfügbar.

Das Auflösen der Nameserver kann über sogenannte Glue-Records erfolgen. Hierbei schickt der übergeordnete Nameserver die passenden IP-Adressen gleich mit. Doch die Glue-Records sind optional und werden auch nicht immer verwendet. In vielen Fällen müssen daher die Nameserver-Hostnamen selbst über mehrere Netzwerkanfragen aufgelöst werden.

Denial of Service durch viele Nameserver-Anfragen

Hier setzt der NXNS-Angriff an. Ein Angreifer kann einen speziellen Nameserver aufsetzen, der für die Subdomains einer Domain des Angreifers eine große Zahl von weiteren Nameserver-Adressen ausgibt. Diese Nameserver-Hostnamen müssen dann vom Resolver alle wieder aufgelöst werden. Ob es sich dabei um gültige Namen handelt, spielt keine Rolle, es geht dem Angreifer nur darum, möglichst viel Last zu erzeugen.

Er kann so mit vergleichsweise wenig Aufwand sehr viel Datenverkehr auf einem Nameserver verursachen. In manchen Szenarien kann solch ein Angriff einen mehr als tausendfachen Verstärkungsfaktor an Datenpaketen erreichen.

Intelligentere Algorithmen schwächen Angriffe ab

Die Entdecker schlagen verschiedene Methoden vor, mit denen solche Angriffe erschwert werden können. Ein Algorithmus, den die Autoren Max1Fetch nennen, sieht vor, dass der Resolver nicht alle Nameserver auflöst, sondern im Regelfall einen bereits im Cache befindlichen Nameserver nutzt und einen weiteren Nameserver auflöst. Auch schlagen die Autoren vor, die Zahl der verwendeten Nameserver zu limitieren, das soll in einem späteren Forschungsprojekt genauer analysiert werden.

Bei Messungen der Forscher war Max1Fetch auch ohne Angriff in den meisten Fällen schneller und effizienter als die bisher verwendeten Algorithmen der DNS-Server.

Die Betreiber von wichtigen DNS-Resolvern wie Google und Cloudflare sind von den Entdeckern der Lücke vorab informiert worden und haben in ihren Servern Gegenmaßnahmen implementiert. Die Entwickler aller gängigen DNS-Server, darunter Bind (CVE-2020-8616), Unbound (CVE-2020-12662), Knot (CVE-2020-12667) und PowerDNS (CVE-2020-10995) sind ebenfalls vorab informiert worden und haben Sicherheitsupdates bereitgestellt. Alle Betreiber von eigenen DNS-Servern sollten diese Updates möglichst schnell installieren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 31,49€
  2. 17,99€
  3. Tom Clancy's Rainbow Six Siege für 7,99€, Assassin's Creed Odyssey für 17,99€, Far Cry 5 für...

M.P. 22. Mai 2020 / Themenstart

Das macht irgendwer? In der Regel wird doch eine second level Domain registriert, und der...

tunnelblick 19. Mai 2020 / Themenstart

edit2: jetzt habe ich es auch verstanden, wie das funktionieren soll :)

Kommentieren


Folgen Sie uns
       


O2 Free Unlimited im Test

Wir haben die beiden in der Geschwindigkeit beschränkten Smartphone-Tarife von Telefónica getestet, die eine echte Datenflatrate anbieten. Selbst der kleine Tarif O2 Free Unlimited Basic ist für typische Smartphone-Aufgaben ausreichend.

O2 Free Unlimited im Test Video aufrufen
    •  /