Cyber-Security: Ist DNS-Angriff die neue DoS-Attacke?

Allgemein

Statt der Denial-of-Service-Methode tauchte in der Web-Unterwelt vor ein paar Wochen eine neue Angriffsform auf, die eine Schwäche der Domain Name Server (DNS) ausnutzt.

Das Abschießen von Websites ist für manchen pösen Purschen ein plödes Hobby. Da werden Konkurrenten, erpressbare Firmen oder schlicht der Verbreiter eines ungeliebten Themas in die Knie gezwungen. Seit ein paar Wochen erwischt es einige kleinere Pornoseiten mit sehr speziellen Inhalten. Das wäre wohl nicht weiter schlimm, wenn dabei nicht eine neue Masche im Spiel wäre: Diese Porno-Angriffe nutzen eine verbreitete Schwäche in der Konfiguration von DNS-Servern aus, um sie zu überlasten. So wird der Zugriff auf die dort beheimateten Websites schwer bis unmöglich.
Bei dieser Angriffsform werden den DNS-Servern Anfragen geschickt, die oft nur den String “.” enthalten. Dies nimmt der DNS-Server zum Anlass, eine Liste mit den Root-Servern des Internets zu verschicken. Diese gehen an den gefälschten Absender der Pakete – genau den Server, den der Angreifer lahmlegen möchte. Da die Antwort-Pakete etwa achtmal fetter sind wie die Anfragen, lassen sich damit die betroffenen Server recht effektiv überlasten – et voilá, ein neuartiger DDoS-Angriff. Die sind seit Januar zu beobachten, berichten Sicherheitsexperten.
Noch sind es Einzelfälle, doch Don Jackson von SecureWorks befürchtet, dass die neue Angriffsmethode schnell das Interesse professioneller Cyberkrimineller findet und sich dann enorm verbreiten könnte. Schon jetzt sei eine Zunahme zu beobachten. Was ihm noch mehr Sorgen bereitet: Es sei momentan schwierig, einen solchen Angriff zu verhindern. Dafür müssten fast alle DNS-Server  umkonfiguriert werden. Die heutige Reaktion des DNS-Servers gelte noch als “Best Practice”. Diese Empfehlung stammt aus einer Zeit, als man es für unbedenklich hielt, den DNS-Server auf fehlerhafte Anfragen hin Alternativvorschläge machen zu lassen. Hier müsse erstmal weltweit umgedacht werden. Aber dafür sorgen die Angreifer schon… (rm)

The Register

Gulli

68.000 getürkte DNS-Server