Israelische Sicherheitsforscher haben Details zu einer Schwachstelle in DNS-Servern veröffentlicht. Sie ermöglicht einen NXNSAttack genannten Angriff, der wiederum benutzt werden kann, um DNS-Server per Distributed Denial of Service (DDoS) lahmzulegen.
Die Forscher der Tel Aviv University und des Interdisciplinary Center in Herzliya haben nach eigenen Angaben eine Möglichkeit entdeckt, den Vorgang der Delegierung von DNS-Anfragen für DDoS-Angriffe zu nutzen. Zu diesem Zweck sendet ein Angreifer eine DNS-Anfrage an einen rekursiven DNS-Server. Die Anfrage muss für eine Domain sein, die von einem autoritativen DNS-Server verwaltet wird, der unter der Kontrolle der Angreifer steht.
Das der rekursive DNS-Server nicht berechtigt ist, die Anfrage aufzulösen, leitet er sie an den Server weiter, der von den Hackern kontrolliert wird. Dieser Server antwortet mit einer Nachricht, wonach er die Auflösung an eine große Liste mit Name-Servern delegiert. Diese Liste enthält Tausende Subdomains für die Website eines Opfers. Der rekursive DNS-Server leitet die DNS-Anfrage nun an alle Subdomains auf der Liste weiter, was zu einem enormen Anstieg des Traffics für den autoritativen DNS-Server des Opfers führt.
Besonders gefährlich ist NXNSAttack, weil eine einfache DNS-Anfrage auf das bis zu 1620-fache ihrer ursprüngliche Größe verstärkt werden kann. Wird der DNS-Server des Opfers lahmgelegt, können Nutzer als Folge auch nicht mehr auf dessen Website zugreifen – die Domain der Seite kann schlichtweg nicht mehr aufgelöst werden.
Üblicherweise lassen sich DDoS-Angriffe den Forschern zufolge um Faktor zwei bis zehn Verstärken. Zwar sei im Fall von NXNSAttack der Verstärkungsfaktor PAF von der verwendeten DNS-Server-Software abhängig, er liege aber stets deutlich über dem Faktor zehn. Deswegen sei NXNSAttack einer der schwerwiegendsten DDoS-Angriffe aller Zeiten.
Um das Problem zu lösen, arbeiteten die Forscher in den vergangenen Monaten mit Anbietern von DNS-Software, Content Delivery Networks und Managed DNS-Servern zusammen. Betroffen sind unter anderem die Anwendungen ISC BIND, NLnet Labs Unbound, PowerDNS, CZ.NIC Knot Resolver. Aber auch kommerzielle DNS-Dienste von Cloudflare, Google, Amazon, Microsoft, Oracle, Verisign und ICANN sind angreifbar.
Patches wurden in den vergangenen Tagen und Wochen veröffentlicht. Sie sollen verhindern, dass Angreifer die DNS-Delegierung missbrauchen, um andere DNS-Server mit Traffic zu überhäufen. Betreiber von DNS-Servern sollten ihre Resolver-Software auf die neuste Version aktualisieren.
In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.
Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…
Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…
Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.
Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…
Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…
Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…