NXNSAttack: Effizienter Angriff auf Nameserver

Eine neue Form von Denial-of-Service-Angriff nutzt die DNS-Architektur, um mit wenig Aufwand viel Serverlast und Traffic zu erzeugen.

Artikel von veröffentlicht am
DNS-Serverbetreiber sollten Sicherheitsupdates installieren - eine neue Form von Denial-of-Service-Angriff kann die Server sonst lahmlegen.
DNS-Serverbetreiber sollten Sicherheitsupdates installieren - eine neue Form von Denial-of-Service-Angriff kann die Server sonst lahmlegen. (Bild: Victorgrigas, Wikimedia Commons/CC-BY-SA 3.0)

Forscher der Universität Tel Aviv haben heute einen neuartigen Angriff auf DNS-Server vorgestellt, den sie NXNSAttack nennen. Sie nutzen dabei die rekursiven Eigenschaften von DNS, um einen sehr effizienten Denial-of-Service-Angriff durchzuführen. Alle Hersteller gängiger DNS-Server stellen Updates bereit, die den Angriff abschwächen.

Stellenmarkt
  1. Wireless Test Engineer (m/w / divers)
    Continental AG, Hannover
  2. ERP-Consultant (m/w/d)
    Heinzmann GmbH & Co. KG, Schönau
Detailsuche

Die Forscher hatten nach eigenen Angaben zunächst beobachtet, dass DNS-Anfragen deutlich mehr Datenverkehr erzeugten, als man naiverweise erwarten würde. Der Grund dafür sind die Auflösungen der Nameserver selbst.

Die Nameserver-Hostnamen müssen selbst aufgelöst werden

Nameserver waren in der Vergangenheit sowohl häufig Opfer von Denial-of-Service-Angriffen als auch Werkzeuge. Durch sogenannte Amplification-Angriffe können die Nameserver genutzt werden, um wiederum andere Systeme anzugreifen. Der NXNS-Angriff ist eine neue Variante eines Amplification-Angriffs.

DNS-Resolver - gemeint sind damit die Nameserver, die direkt von mit dem Internet verbundenen Geräten genutzt werden - arbeiten Anfragen rekursiv ab, beginnend bei den Root-Nameservern des Internets. Von jedem Nameserver kann die Anfrage an andere Nameserver weitergeleitet werden.

Golem Karrierewelt
  1. Kotlin für Java-Entwickler: virtueller Zwei-Tage-Workshop
    13./14.10.2022, Virtuell
  2. Deep-Dive Kubernetes – Observability, Monitoring & Alerting: virtueller Ein-Tages-Workshop
    22.09.2022, Virtuell
Weitere IT-Trainings

Wenn ein Nameserver etwa die Domain example.org auflöst, wird er zunächst an die Nameserver von .org verwiesen und erfährt dort wiederum mehrere Nameserver von example.org. Die Nameserver selbst sind allerdings auch wieder Hostnamen, die ebenfalls aufgelöst werden müssen. Im Regelfall lösen Resolver alle verfügbaren Nameserver auf, meist sind für Domains drei oder vier Nameserver verfügbar.

Das Auflösen der Nameserver kann über sogenannte Glue-Records erfolgen. Hierbei schickt der übergeordnete Nameserver die passenden IP-Adressen gleich mit. Doch die Glue-Records sind optional und werden auch nicht immer verwendet. In vielen Fällen müssen daher die Nameserver-Hostnamen selbst über mehrere Netzwerkanfragen aufgelöst werden.

Denial of Service durch viele Nameserver-Anfragen

Hier setzt der NXNS-Angriff an. Ein Angreifer kann einen speziellen Nameserver aufsetzen, der für die Subdomains einer Domain des Angreifers eine große Zahl von weiteren Nameserver-Adressen ausgibt. Diese Nameserver-Hostnamen müssen dann vom Resolver alle wieder aufgelöst werden. Ob es sich dabei um gültige Namen handelt, spielt keine Rolle, es geht dem Angreifer nur darum, möglichst viel Last zu erzeugen.

Er kann so mit vergleichsweise wenig Aufwand sehr viel Datenverkehr auf einem Nameserver verursachen. In manchen Szenarien kann solch ein Angriff einen mehr als tausendfachen Verstärkungsfaktor an Datenpaketen erreichen.

Intelligentere Algorithmen schwächen Angriffe ab

Die Entdecker schlagen verschiedene Methoden vor, mit denen solche Angriffe erschwert werden können. Ein Algorithmus, den die Autoren Max1Fetch nennen, sieht vor, dass der Resolver nicht alle Nameserver auflöst, sondern im Regelfall einen bereits im Cache befindlichen Nameserver nutzt und einen weiteren Nameserver auflöst. Auch schlagen die Autoren vor, die Zahl der verwendeten Nameserver zu limitieren, das soll in einem späteren Forschungsprojekt genauer analysiert werden.

Bei Messungen der Forscher war Max1Fetch auch ohne Angriff in den meisten Fällen schneller und effizienter als die bisher verwendeten Algorithmen der DNS-Server.

Die Betreiber von wichtigen DNS-Resolvern wie Google und Cloudflare sind von den Entdeckern der Lücke vorab informiert worden und haben in ihren Servern Gegenmaßnahmen implementiert. Die Entwickler aller gängigen DNS-Server, darunter Bind (CVE-2020-8616), Unbound (CVE-2020-12662), Knot (CVE-2020-12667) und PowerDNS (CVE-2020-10995) sind ebenfalls vorab informiert worden und haben Sicherheitsupdates bereitgestellt. Alle Betreiber von eigenen DNS-Servern sollten diese Updates möglichst schnell installieren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


M.P. 22. Mai 2020

Das macht irgendwer? In der Regel wird doch eine second level Domain registriert, und der...

gelöscht 19. Mai 2020

edit2: jetzt habe ich es auch verstanden, wie das funktionieren soll :)



Aktuell auf der Startseite von Golem.de
Halbleiterfertigung
Keine modernen Belichtungsmaschinen mehr für China

Maschinen für EUV-Belichtung darf ASML bereits nicht mehr nach China exportieren, auch der Zugang zu älteren DUV-Anlagen soll gekappt werden.

Halbleiterfertigung: Keine modernen Belichtungsmaschinen mehr für China
Artikel
  1. Gewobag: 500 Ladepunkte für Mieter in Berlin geplant
    Gewobag
    500 Ladepunkte für Mieter in Berlin geplant

    Mieter der Berliner Gewobag sollen bis Ende 2024 etwa 500 Ladepunkte für ihre E-Autos nutzen können. Die Gesellschaft verfügt über 16.000 Stellplätze.

  2. Kryptowinter: Auch Bitcoin-Minern droht die Zahlungsunfähigkeit
    Kryptowinter
    Auch Bitcoin-Minern droht die Zahlungsunfähigkeit

    Nicht nur Bitcoin-Verleiher gehen in der Krise pleite. Auch professionelle Krypto-Mining-Unternehmen kämpfen um ihre Liquidität.

  3. Fake-Polizei-Anrufe: Bundesnetzagentur meldet starken Anstieg von Beschwerden
    Fake-Polizei-Anrufe
    Bundesnetzagentur meldet starken Anstieg von Beschwerden

    Seit März wachsen die Beschwerden stark an, weil Betrüger automatische Ansage von Polizei, BKA, Interpol oder Europol versenden. Dabei täuschen sie echte Telefonnummern vor.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Red Friday: Mega-Rabatt-Aktion bei Media Markt • PS5 bestellbar • EVGA RTX 3090 günstig wie nie: 1.649€ • MindStar (MSI RTX 3060 429€, MSI 31,5“ WQHD 165Hz 369€) • Samsung QLED 85" günstig wie nie: 1.732,72€ • Alternate (Tower & CPU-Kühler) • Der beste 2.000€-Gaming-PC [Werbung]
    •  /