For English version click here.

Angriffe mit DNS Amplification – was steckt dahinter?

11.04.2018        Bedrohungslage
Angriffe mit DNS Amplification – was steckt dahinter?
Link11

DNS Amplification-Angriffe sind eine Variante im Bereich von „verteilten Denial-Of-Service“–Angriffen, auch DDoS genannt. Angriffe vom Typ DNS-Amplification nutzen hierbei DNS-Server als „Verstärker“.

Der Angriff an sich erfolgt relativ simpel: Der Angreifer stellt über sein Botnetz Zehntausende DNS-Anfragen an einen oder mehrere öffentliche DNS-Resolver. Die Bots nutzen dabei die IP-Adresse des Angriffsziels als Absender-IP, sodass die Antworten der DNS-Resolver nicht an den Angreifer selbst, sondern in Richtung des Angriffsziels gesendet werden. Zehntausende Antworten werden dadurch von den DNS-Resolvern in Richtung des Angriffsziels gesendet.

Die Kommunikation gestaltet sich dabei wie folgt (hier mit nur einem angreifenden Bot):

DNS Amplification Communication
©Link11

Der Angreifer nutzt zudem eine Eigenart des DNS–Protokolls: Die Anfragen in Richtung der DNS-Server sind häufig viel kleiner als die Antworten der DNS-Server. Eine Anfrage mit einer Größe von wenigen Bytes kann eine Antwort von Tausenden Bytes hervorrufen. Eine Anfrage mit einer Größe von 50 Bytes kann damit zu einer Antwort von 5000 Bytes führen - dies entspricht einer Verstärkung (Amplification) mit dem Faktor 100. Ein Angreifer muss somit nur einen Bruchteil der Daten senden, die sein Ziel treffen. Ein Bot mit einer Bandbreite von 10 Mbps kann somit einen Angriff von 1 Gbps führen - ein ganzes Botnetz kann damit einfach Hunderte von Gbps erreichen.

Selbst eine simple Anfrage nach einem A-Record mit einer Paketgröße von 74 Bytes kann zu einer Antwort von 508 Bytes führen (der Verstärkungsfaktor beträgt hierbei circa 7 (508/74)). Eine solche Anfrage mit der passenden Antwort könnte wie folgt aussehen (hier ohne Layer 2- und Layer 3-Header):

DNS Amplification Request
Anfrage von Client (IP A.B.C.D) an DNS-Resolver (IP Q.W.E.R) nach „www.thefqdn.de“ – Paketgröße 74 Bytes (©Link11)
DNS Amplificatoin Reply
Antwort von DNS-Resolver (IP Q.W.E.R) an Client (IP A.B.C.D) – Paketgröße 508 Bytes (©Link11)

Die Kommunikation des Botnetzes inklusive der Verstärkung gestaltet sich wie folgt:
 

DNS Amplification Botnet
©Link11

Das Angriffsziel ist dabei mehreren Gefahren ausgesetzt:

  • Überlastung der Internetanbindung
  • Überlastung von Komponenten, welche die Pakete bearbeiten müssen
  • etc.

Im schlimmsten Fall führt ein solcher Angriff zum kompletten Ausfall der Internetanbindung des Angriffsziels.

Zurück zur Übersicht

Neueste Blogbeiträge

Bedrohungslage: DDoS-Report 2020: Die größten Attacken im ersten Halbjahr (Infografik)

Bedrohungslage: Valentinstag: DDoS-Angreifer bedrohen Online-Handel

Bedrohungslage: So machen Cyberkriminelle mit Daten und DDoS-Attacken Kasse

Bedrohungslage: Citrix-Systeme für DDoS-Attacken missbraucht

Presse: Link11 übernimmt DDoS-Schutzanbieter DOSarrest Internet Security LTD

IT-Sicherheit: Black Friday: Wie kann sich die E-Commerce-Branche vor DDoS-Angriffen schützen

Bleiben Sie informiert über aktuelle DDoS-Reports, Warnmeldungen und Neuigkeiten zu IT-Sicherheit, Cybercrime und DDoS-Schutz.

Anmelden

Informiert bleiben!

Link11 Blog abonnieren mit News zum Unternehmen, IT-Security, Cybercrime

Anmelden

Kategorien

Schlagwörter

Cyber-Attacken ( 31 ) Schutz ( 25 ) DDoS ( 24 ) Cybercrime ( 17 ) KRITIS ( 13 ) Cloud ( 10 ) IoT ( 7 )

Link11GmbH​

Folgen Sie Link11 auf Twitter

25. February 2021 21:10

Allianz: More than 600 million Euros in losses due to Cyber-Extortion via #DDoS Attacks and #Ransomware.…

2 Retweets   0

Mehr lesen
24. February 2021 16:20

Alarming Cyber Security news this week: The FBI warns of #TDoS (telephony denial-of-service) attacks on emergency…

4 Retweets   4

Mehr lesen
23. February 2021 13:10

What does the end of the Privacy Shield means really for CDN users? Things have changed dramatically regarding data…

1 Retweets   2

Mehr lesen
22. February 2021 12:49

RT @CSOonline: How #DDoS attacks are evolving — Denial-of-service attacks have been part of the criminal toolbox for 20 years, and they’re…

8 Retweets   0

22. February 2021 09:11

RT @MarcWilczek: Digitalisierungs- und Brandbeschleuniger Covid-19? Die aktuelle #Cybercrime-Bedrohungslage im Fokus. Hier unser gemeinsame…

5 Retweets   0

19. February 2021 12:15

DDoS attacks and ransomware lead to increasing losses from cyber extortion. Our new blog article takes a detailed l…

3 Retweets   0

Mehr lesen
18. February 2021 15:01

RT @MarcWilczek: The average cost of a #databreach equals $116 million. Sensitivity of customer information and time-to-detection determine…

6 Retweets   0

17. February 2021 13:55

Our COO Marc Wilczek takes a look at the current security situation and explains why the threat is not only omnipre…

3 Retweets   1

Mehr lesen
16. February 2021 15:52

RT @MarcWilczek: 639 #cybersecurity breaches at public comps analyzed, #malware (34%), #phishing (25%), & unauthorized access (20%) were th…

5 Retweets   0

16. February 2021 13:01

RT @MarcWilczek: #Link11 keeps hiring and expanding. With great pleasure, I want to warmly welcome both Susan Herrmann and Peter Hoeld on b…

6 Retweets   0

15. February 2021 14:09

Kurze Erinnerung für unser morgiges #Webinar mit unserem Partner @NETHINKS Wer Interesse an Themen rund um #DDoS -A…

2 Retweets   2

Mehr lesen
15. February 2021 14:07

RT @MarcWilczek: Zahl der Hacker-Attacken nimmt während #Coronakrise zu #Homeoffice und Netflix: Mehr Menschen im Internet unterwegs als j…

3 Retweets   0