Categories: Sicherheit

Sicherheitslücke in DNS-Server-Software ermöglicht massive DDoS-Angriffe

Israelische Sicherheitsforscher haben Details zu einer Schwachstelle in DNS-Servern veröffentlicht. Sie ermöglicht einen NXNSAttack genannten Angriff, der wiederum benutzt werden kann, um DNS-Server per Distributed Denial of Service (DDoS) lahmzulegen.

Betroffen sind allerdings nur rekursive DNS-Server, die Daten von einem anderen Nameserver holen und somit die DNS-Auflösung delegieren. Die Auflösung selbst findet auf einem autoritativen DNS-Server statt, also den Servern, die Kopien von DNS-Einträgen vorhalten und zur Auflösung berechtigt sind. Allerdings können autoritative DNS-Server die Auflösung ebenfalls an alternative DNS-Server ihrer Wahl delegieren.

Die Forscher der Tel Aviv University und des Interdisciplinary Center in Herzliya haben nach eigenen Angaben eine Möglichkeit entdeckt, den Vorgang der Delegierung von DNS-Anfragen für DDoS-Angriffe zu nutzen. Zu diesem Zweck sendet ein Angreifer eine DNS-Anfrage an einen rekursiven DNS-Server. Die Anfrage muss für eine Domain sein, die von einem autoritativen DNS-Server verwaltet wird, der unter der Kontrolle der Angreifer steht.

Das der rekursive DNS-Server nicht berechtigt ist, die Anfrage aufzulösen, leitet er sie an den Server weiter, der von den Hackern kontrolliert wird. Dieser Server antwortet mit einer Nachricht, wonach er die Auflösung an eine große Liste mit Name-Servern delegiert. Diese Liste enthält Tausende Subdomains für die Website eines Opfers. Der rekursive DNS-Server leitet die DNS-Anfrage nun an alle Subdomains auf der Liste weiter, was zu einem enormen Anstieg des Traffics für den autoritativen DNS-Server des Opfers führt.

Besonders gefährlich ist NXNSAttack, weil eine einfache DNS-Anfrage auf das bis zu 1620-fache ihrer ursprüngliche Größe verstärkt werden kann. Wird der DNS-Server des Opfers lahmgelegt, können Nutzer als Folge auch nicht mehr auf dessen Website zugreifen – die Domain der Seite kann schlichtweg nicht mehr aufgelöst werden.

Üblicherweise lassen sich DDoS-Angriffe den Forschern zufolge um Faktor zwei bis zehn Verstärken. Zwar sei im Fall von NXNSAttack der Verstärkungsfaktor PAF von der verwendeten DNS-Server-Software abhängig, er liege aber stets deutlich über dem Faktor zehn. Deswegen sei NXNSAttack einer der schwerwiegendsten DDoS-Angriffe aller Zeiten.

Um das Problem zu lösen, arbeiteten die Forscher in den vergangenen Monaten mit Anbietern von DNS-Software, Content Delivery Networks und Managed DNS-Servern zusammen. Betroffen sind unter anderem die Anwendungen ISC BIND, NLnet Labs Unbound, PowerDNS, CZ.NIC Knot Resolver. Aber auch kommerzielle DNS-Dienste von Cloudflare, Google, Amazon, Microsoft, Oracle, Verisign und ICANN sind angreifbar.

Patches wurden in den vergangenen Tagen und Wochen veröffentlicht. Sie sollen verhindern, dass Angreifer die DNS-Delegierung missbrauchen, um andere DNS-Server mit Traffic zu überhäufen. Betreiber von DNS-Servern sollten ihre Resolver-Software auf die neuste Version aktualisieren.

ANZEIGE

Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

2 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

2 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

3 Tagen ago