Diese Website verwendet Cookies, um die Nutzerfreundlichkeit zu verbessern. Sie stimmen dem durch die weitere Nutzung der Website zu. Weitere Infos zu Cookies und deren Deaktivierung finden Sie hier.

For English version click here.

Angriffe mit DNS Amplification – was steckt dahinter?

11.04.2018        Bedrohungslage
Angriffe mit DNS Amplification – was steckt dahinter?
Link11

DNS Amplification-Angriffe sind eine Variante im Bereich von „verteilten Denial-Of-Service“–Angriffen, auch DDoS genannt. Angriffe vom Typ DNS-Amplification nutzen hierbei DNS-Server als „Verstärker“.

Der Angriff an sich erfolgt relativ simpel: Der Angreifer stellt über sein Botnetz Zehntausende DNS-Anfragen an einen oder mehrere öffentliche DNS-Resolver. Die Bots nutzen dabei die IP-Adresse des Angriffsziels als Absender-IP, sodass die Antworten der DNS-Resolver nicht an den Angreifer selbst, sondern in Richtung des Angriffsziels gesendet werden. Zehntausende Antworten werden dadurch von den DNS-Resolvern in Richtung des Angriffsziels gesendet.

Die Kommunikation gestaltet sich dabei wie folgt (hier mit nur einem angreifenden Bot):

DNS Amplification Communication
©Link11

Der Angreifer nutzt zudem eine Eigenart des DNS–Protokolls: Die Anfragen in Richtung der DNS-Server sind häufig viel kleiner als die Antworten der DNS-Server. Eine Anfrage mit einer Größe von wenigen Bytes kann eine Antwort von Tausenden Bytes hervorrufen. Eine Anfrage mit einer Größe von 50 Bytes kann damit zu einer Antwort von 5000 Bytes führen - dies entspricht einer Verstärkung (Amplification) mit dem Faktor 100. Ein Angreifer muss somit nur einen Bruchteil der Daten senden, die sein Ziel treffen. Ein Bot mit einer Bandbreite von 10 Mbps kann somit einen Angriff von 1 Gbps führen - ein ganzes Botnetz kann damit einfach Hunderte von Gbps erreichen.

Selbst eine simple Anfrage nach einem A-Record mit einer Paketgröße von 74 Bytes kann zu einer Antwort von 508 Bytes führen (der Verstärkungsfaktor beträgt hierbei circa 7 (508/74)). Eine solche Anfrage mit der passenden Antwort könnte wie folgt aussehen (hier ohne Layer 2- und Layer 3-Header):

DNS Amplification Request
Anfrage von Client (IP A.B.C.D) an DNS-Resolver (IP Q.W.E.R) nach „www.thefqdn.de“ – Paketgröße 74 Bytes (©Link11)
DNS Amplificatoin Reply
Antwort von DNS-Resolver (IP Q.W.E.R) an Client (IP A.B.C.D) – Paketgröße 508 Bytes (©Link11)

Die Kommunikation des Botnetzes inklusive der Verstärkung gestaltet sich wie folgt:
 

DNS Amplification Botnet
©Link11

Das Angriffsziel ist dabei mehreren Gefahren ausgesetzt:

  • Überlastung der Internetanbindung
  • Überlastung von Komponenten, welche die Pakete bearbeiten müssen
  • etc.

Im schlimmsten Fall führt ein solcher Angriff zum kompletten Ausfall der Internetanbindung des Angriffsziels.

Zurück zur Übersicht

Neueste Blogbeiträge

Bedrohungslage: Reflection-Amplification-Vektoren: eine Chronologie

Bedrohungslage: DDoS-Report 2020: Die größten Attacken im ersten Halbjahr (Infografik)

Bedrohungslage: Link11 DDoS-Report: Renaissance von DDoS-Attacken während des Corona-Lockdowns

Bedrohungslage: Armada Collective: DDoS-Erpresser attackieren Hosting-Branche

Bedrohungslage: Brute Force Angriff: Was ist das?

IT-Sicherheit: Warum Automatisierung und KI beim DDoS-Schutz wichtig sind

Bleiben Sie informiert über aktuelle DDoS-Reports, Warnmeldungen und Neuigkeiten zu IT-Sicherheit, Cybercrime und DDoS-Schutz.

Anmelden

Informiert bleiben!

Link11 Blog abonnieren mit News zum Unternehmen, IT-Security, Cybercrime

Anmelden

Kategorien

Schlagwörter

DDoS ( 5 )

Link11GmbH​

Folgen Sie Link11 auf Twitter

17. September 2020 09:07

RT @cloudtweeters: #CyberResilience has been redefined! We've partnered with @Link11GmbH so our VARs can provide customers with intelligen…

2 Retweets   0

17. September 2020 09:06

EU-US-PrivacyShield adé! Was das für Nutzer von Content Delivery Networks (CDN) bedeutet, erklärt Michael Hempe, Re…

1 Retweets   2

Mehr lesen
11. September 2020 10:35

@SecurityParalok Link11 DDoS Protection can help!

0 Retweets   0

11. September 2020 10:33

@QAValley Thank you for sharing, great piece. For the fastest and reliable German made DDoS Protection, get in touch!

0 Retweets   0

11. September 2020 10:30

@analyticsinme Great list, thank you for sharing. On how to protect yourself against DDoS attacks, we can help!

0 Retweets   0

07. September 2020 11:09

@WIRED A good DDoS protection is essential! Happy to help on this topic

0 Retweets   0

24. August 2020 10:17

RT @MarcWilczek: I guess next time when someone asks what the @Link11GmbH Security Platform is all about, I will just use this footage as a…

1 Retweets   0

19. August 2020 16:39

Was Sie schon immer über #Cybercrime wissen wollten: Wie ist das Ökosystem Cybercrime organsiert? Welche Akteure si…

3 Retweets   1

Mehr lesen
19. August 2020 16:28

RT @svenweizenegger: Neue HCRKS Podcast-Folge über Cyber Crime: #CyberSecurity #podcast #cybercrime

3 Retweets   0

Mehr lesen
23. July 2020 16:40

Wie funktioniert die Brute Force Methode und wie können Sie sich dagegen schützen? #bruteforce #Password

2 Retweets   2

Mehr lesen
17. July 2020 14:52

Want to know more about how Karsten Desler, co-founder of Link11, found a solution to one of the biggest challenges…

7 Retweets   3

Mehr lesen
16. July 2020 17:43

In case you missed it, make sure to catch up here:

2 Retweets   2

Mehr lesen