Categories: Sicherheit

Sicherheitslücke in DNS-Server-Software ermöglicht massive DDoS-Angriffe

Israelische Sicherheitsforscher haben Details zu einer Schwachstelle in DNS-Servern veröffentlicht. Sie ermöglicht einen NXNSAttack genannten Angriff, der wiederum benutzt werden kann, um DNS-Server per Distributed Denial of Service (DDoS) lahmzulegen.

Betroffen sind allerdings nur rekursive DNS-Server, die Daten von einem anderen Nameserver holen und somit die DNS-Auflösung delegieren. Die Auflösung selbst findet auf einem autoritativen DNS-Server statt, also den Servern, die Kopien von DNS-Einträgen vorhalten und zur Auflösung berechtigt sind. Allerdings können autoritative DNS-Server die Auflösung ebenfalls an alternative DNS-Server ihrer Wahl delegieren.

Die Forscher der Tel Aviv University und des Interdisciplinary Center in Herzliya haben nach eigenen Angaben eine Möglichkeit entdeckt, den Vorgang der Delegierung von DNS-Anfragen für DDoS-Angriffe zu nutzen. Zu diesem Zweck sendet ein Angreifer eine DNS-Anfrage an einen rekursiven DNS-Server. Die Anfrage muss für eine Domain sein, die von einem autoritativen DNS-Server verwaltet wird, der unter der Kontrolle der Angreifer steht.

Das der rekursive DNS-Server nicht berechtigt ist, die Anfrage aufzulösen, leitet er sie an den Server weiter, der von den Hackern kontrolliert wird. Dieser Server antwortet mit einer Nachricht, wonach er die Auflösung an eine große Liste mit Name-Servern delegiert. Diese Liste enthält Tausende Subdomains für die Website eines Opfers. Der rekursive DNS-Server leitet die DNS-Anfrage nun an alle Subdomains auf der Liste weiter, was zu einem enormen Anstieg des Traffics für den autoritativen DNS-Server des Opfers führt.

Besonders gefährlich ist NXNSAttack, weil eine einfache DNS-Anfrage auf das bis zu 1620-fache ihrer ursprüngliche Größe verstärkt werden kann. Wird der DNS-Server des Opfers lahmgelegt, können Nutzer als Folge auch nicht mehr auf dessen Website zugreifen – die Domain der Seite kann schlichtweg nicht mehr aufgelöst werden.

Üblicherweise lassen sich DDoS-Angriffe den Forschern zufolge um Faktor zwei bis zehn Verstärken. Zwar sei im Fall von NXNSAttack der Verstärkungsfaktor PAF von der verwendeten DNS-Server-Software abhängig, er liege aber stets deutlich über dem Faktor zehn. Deswegen sei NXNSAttack einer der schwerwiegendsten DDoS-Angriffe aller Zeiten.

Um das Problem zu lösen, arbeiteten die Forscher in den vergangenen Monaten mit Anbietern von DNS-Software, Content Delivery Networks und Managed DNS-Servern zusammen. Betroffen sind unter anderem die Anwendungen ISC BIND, NLnet Labs Unbound, PowerDNS, CZ.NIC Knot Resolver. Aber auch kommerzielle DNS-Dienste von Cloudflare, Google, Amazon, Microsoft, Oracle, Verisign und ICANN sind angreifbar.

Patches wurden in den vergangenen Tagen und Wochen veröffentlicht. Sie sollen verhindern, dass Angreifer die DNS-Delegierung missbrauchen, um andere DNS-Server mit Traffic zu überhäufen. Betreiber von DNS-Servern sollten ihre Resolver-Software auf die neuste Version aktualisieren.

ANZEIGE

Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Google-Forscher entdeckt schwerwiegende Sicherheitslücke in Mozillas NSS-Bibliothek

Ein Angreifer kann Speicherbereiche mit eigenem Code überschreiben. Der Mozilla-Browser Firefox ist aber nicht betroffen.

3 Tagen ago

Forscher warnen vor unsicheren Cloud-Computing-Diensten

Sie richten 320 Honeypots mit unsicher konfigurieren Diensten sowie schwachen Zugangskennwörtern ein. Bereits nach 24…

3 Tagen ago

Online-Handel unter Bot-Beschuss

Unter dem Motto „Es ist ein Bot entsprungen“ machen Hacker dem Online-Handel dieses Weihnachten erneut…

3 Tagen ago

Mit Neo zu Cloud-Native-Ufern

OutSystems fokussiert sich auf Lösungen für die Low-Code-Programmierung. Dieses Verfahren zur Softwareerstellung ohne tiefgehende Programmierkenntnisse…

3 Tagen ago

Netzwerktransformation mit NaaS

Viele Netzwerk-Admins achten in erster Linie auf die Konnektivität. Netzwerk as a Service (NaaS) kann…

3 Tagen ago

ONLYOFFICE: Partnerprogramm bietet zahlreiche Vorteile für neue Reseller

Wer seinen Kunden im Rahmen seiner Softwarelösung, IT-Services oder einfach nur als Reseller die Open-Source-Kollaborationsplattform…

3 Tagen ago