Categories: Sicherheit

Sicherheitslücke in DNS-Server-Software ermöglicht massive DDoS-Angriffe

Israelische Sicherheitsforscher haben Details zu einer Schwachstelle in DNS-Servern veröffentlicht. Sie ermöglicht einen NXNSAttack genannten Angriff, der wiederum benutzt werden kann, um DNS-Server per Distributed Denial of Service (DDoS) lahmzulegen.

Betroffen sind allerdings nur rekursive DNS-Server, die Daten von einem anderen Nameserver holen und somit die DNS-Auflösung delegieren. Die Auflösung selbst findet auf einem autoritativen DNS-Server statt, also den Servern, die Kopien von DNS-Einträgen vorhalten und zur Auflösung berechtigt sind. Allerdings können autoritative DNS-Server die Auflösung ebenfalls an alternative DNS-Server ihrer Wahl delegieren.

Die Forscher der Tel Aviv University und des Interdisciplinary Center in Herzliya haben nach eigenen Angaben eine Möglichkeit entdeckt, den Vorgang der Delegierung von DNS-Anfragen für DDoS-Angriffe zu nutzen. Zu diesem Zweck sendet ein Angreifer eine DNS-Anfrage an einen rekursiven DNS-Server. Die Anfrage muss für eine Domain sein, die von einem autoritativen DNS-Server verwaltet wird, der unter der Kontrolle der Angreifer steht.

Das der rekursive DNS-Server nicht berechtigt ist, die Anfrage aufzulösen, leitet er sie an den Server weiter, der von den Hackern kontrolliert wird. Dieser Server antwortet mit einer Nachricht, wonach er die Auflösung an eine große Liste mit Name-Servern delegiert. Diese Liste enthält Tausende Subdomains für die Website eines Opfers. Der rekursive DNS-Server leitet die DNS-Anfrage nun an alle Subdomains auf der Liste weiter, was zu einem enormen Anstieg des Traffics für den autoritativen DNS-Server des Opfers führt.

Besonders gefährlich ist NXNSAttack, weil eine einfache DNS-Anfrage auf das bis zu 1620-fache ihrer ursprüngliche Größe verstärkt werden kann. Wird der DNS-Server des Opfers lahmgelegt, können Nutzer als Folge auch nicht mehr auf dessen Website zugreifen – die Domain der Seite kann schlichtweg nicht mehr aufgelöst werden.

Üblicherweise lassen sich DDoS-Angriffe den Forschern zufolge um Faktor zwei bis zehn Verstärken. Zwar sei im Fall von NXNSAttack der Verstärkungsfaktor PAF von der verwendeten DNS-Server-Software abhängig, er liege aber stets deutlich über dem Faktor zehn. Deswegen sei NXNSAttack einer der schwerwiegendsten DDoS-Angriffe aller Zeiten.

Um das Problem zu lösen, arbeiteten die Forscher in den vergangenen Monaten mit Anbietern von DNS-Software, Content Delivery Networks und Managed DNS-Servern zusammen. Betroffen sind unter anderem die Anwendungen ISC BIND, NLnet Labs Unbound, PowerDNS, CZ.NIC Knot Resolver. Aber auch kommerzielle DNS-Dienste von Cloudflare, Google, Amazon, Microsoft, Oracle, Verisign und ICANN sind angreifbar.

Patches wurden in den vergangenen Tagen und Wochen veröffentlicht. Sie sollen verhindern, dass Angreifer die DNS-Delegierung missbrauchen, um andere DNS-Server mit Traffic zu überhäufen. Betreiber von DNS-Servern sollten ihre Resolver-Software auf die neuste Version aktualisieren.

ANZEIGE

Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

3 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

7 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

8 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

8 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

8 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

10 Stunden ago