• IT-Karriere:
  • Services:

NXNSAttack: Effizienter Angriff auf Nameserver

Eine neue Form von Denial-of-Service-Angriff nutzt die DNS-Architektur, um mit wenig Aufwand viel Serverlast und Traffic zu erzeugen.

Artikel von veröffentlicht am
DNS-Serverbetreiber sollten Sicherheitsupdates installieren - eine neue Form von Denial-of-Service-Angriff kann die Server sonst lahmlegen.
DNS-Serverbetreiber sollten Sicherheitsupdates installieren - eine neue Form von Denial-of-Service-Angriff kann die Server sonst lahmlegen. (Bild: Victorgrigas, Wikimedia Commons/CC-BY-SA 3.0)

Forscher der Universität Tel Aviv haben heute einen neuartigen Angriff auf DNS-Server vorgestellt, den sie NXNSAttack nennen. Sie nutzen dabei die rekursiven Eigenschaften von DNS, um einen sehr effizienten Denial-of-Service-Angriff durchzuführen. Alle Hersteller gängiger DNS-Server stellen Updates bereit, die den Angriff abschwächen.

Stellenmarkt
  1. Erzbistum Köln, Köln
  2. BASF Digital Solutions GmbH, Ludwigshafen am Rhein

Die Forscher hatten nach eigenen Angaben zunächst beobachtet, dass DNS-Anfragen deutlich mehr Datenverkehr erzeugten, als man naiverweise erwarten würde. Der Grund dafür sind die Auflösungen der Nameserver selbst.

Die Nameserver-Hostnamen müssen selbst aufgelöst werden

Nameserver waren in der Vergangenheit sowohl häufig Opfer von Denial-of-Service-Angriffen als auch Werkzeuge. Durch sogenannte Amplification-Angriffe können die Nameserver genutzt werden, um wiederum andere Systeme anzugreifen. Der NXNS-Angriff ist eine neue Variante eines Amplification-Angriffs.

DNS-Resolver - gemeint sind damit die Nameserver, die direkt von mit dem Internet verbundenen Geräten genutzt werden - arbeiten Anfragen rekursiv ab, beginnend bei den Root-Nameservern des Internets. Von jedem Nameserver kann die Anfrage an andere Nameserver weitergeleitet werden.

Wenn ein Nameserver etwa die Domain example.org auflöst, wird er zunächst an die Nameserver von .org verwiesen und erfährt dort wiederum mehrere Nameserver von example.org. Die Nameserver selbst sind allerdings auch wieder Hostnamen, die ebenfalls aufgelöst werden müssen. Im Regelfall lösen Resolver alle verfügbaren Nameserver auf, meist sind für Domains drei oder vier Nameserver verfügbar.

Das Auflösen der Nameserver kann über sogenannte Glue-Records erfolgen. Hierbei schickt der übergeordnete Nameserver die passenden IP-Adressen gleich mit. Doch die Glue-Records sind optional und werden auch nicht immer verwendet. In vielen Fällen müssen daher die Nameserver-Hostnamen selbst über mehrere Netzwerkanfragen aufgelöst werden.

Denial of Service durch viele Nameserver-Anfragen

Hier setzt der NXNS-Angriff an. Ein Angreifer kann einen speziellen Nameserver aufsetzen, der für die Subdomains einer Domain des Angreifers eine große Zahl von weiteren Nameserver-Adressen ausgibt. Diese Nameserver-Hostnamen müssen dann vom Resolver alle wieder aufgelöst werden. Ob es sich dabei um gültige Namen handelt, spielt keine Rolle, es geht dem Angreifer nur darum, möglichst viel Last zu erzeugen.

Er kann so mit vergleichsweise wenig Aufwand sehr viel Datenverkehr auf einem Nameserver verursachen. In manchen Szenarien kann solch ein Angriff einen mehr als tausendfachen Verstärkungsfaktor an Datenpaketen erreichen.

Intelligentere Algorithmen schwächen Angriffe ab

Die Entdecker schlagen verschiedene Methoden vor, mit denen solche Angriffe erschwert werden können. Ein Algorithmus, den die Autoren Max1Fetch nennen, sieht vor, dass der Resolver nicht alle Nameserver auflöst, sondern im Regelfall einen bereits im Cache befindlichen Nameserver nutzt und einen weiteren Nameserver auflöst. Auch schlagen die Autoren vor, die Zahl der verwendeten Nameserver zu limitieren, das soll in einem späteren Forschungsprojekt genauer analysiert werden.

Bei Messungen der Forscher war Max1Fetch auch ohne Angriff in den meisten Fällen schneller und effizienter als die bisher verwendeten Algorithmen der DNS-Server.

Die Betreiber von wichtigen DNS-Resolvern wie Google und Cloudflare sind von den Entdeckern der Lücke vorab informiert worden und haben in ihren Servern Gegenmaßnahmen implementiert. Die Entwickler aller gängigen DNS-Server, darunter Bind (CVE-2020-8616), Unbound (CVE-2020-12662), Knot (CVE-2020-12667) und PowerDNS (CVE-2020-10995) sind ebenfalls vorab informiert worden und haben Sicherheitsupdates bereitgestellt. Alle Betreiber von eigenen DNS-Servern sollten diese Updates möglichst schnell installieren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (u. a. GTA 5 für 16,99€, Dark Souls 3 - Deluxe Edition für 19,12€, Bioshock: Infinite für 7...
  2. 8,50€
  3. gratis
  4. 15,49€

M.P. 22. Mai 2020

Das macht irgendwer? In der Regel wird doch eine second level Domain registriert, und der...

tunnelblick 19. Mai 2020

edit2: jetzt habe ich es auch verstanden, wie das funktionieren soll :)


Folgen Sie uns
       


    •  /