Diese Website verwendet Cookies, um die Nutzerfreundlichkeit zu verbessern. Sie stimmen dem durch die weitere Nutzung der Website zu. Weitere Infos zu Cookies und deren Deaktivierung finden Sie hier.

For English version click here.

Angriffe mit DNS Amplification – was steckt dahinter?

11.04.2018        Bedrohungslage
Angriffe mit DNS Amplification – was steckt dahinter?
Link11

DNS Amplification-Angriffe sind eine Variante im Bereich von „verteilten Denial-Of-Service“–Angriffen, auch DDoS genannt. Angriffe vom Typ DNS-Amplification nutzen hierbei DNS-Server als „Verstärker“.

Der Angriff an sich erfolgt relativ simpel: Der Angreifer stellt über sein Botnetz Zehntausende DNS-Anfragen an einen oder mehrere öffentliche DNS-Resolver. Die Bots nutzen dabei die IP-Adresse des Angriffsziels als Absender-IP, sodass die Antworten der DNS-Resolver nicht an den Angreifer selbst, sondern in Richtung des Angriffsziels gesendet werden. Zehntausende Antworten werden dadurch von den DNS-Resolvern in Richtung des Angriffsziels gesendet.

Die Kommunikation gestaltet sich dabei wie folgt (hier mit nur einem angreifenden Bot):

DNS Amplification Communication
©Link11

Der Angreifer nutzt zudem eine Eigenart des DNS–Protokolls: Die Anfragen in Richtung der DNS-Server sind häufig viel kleiner als die Antworten der DNS-Server. Eine Anfrage mit einer Größe von wenigen Bytes kann eine Antwort von Tausenden Bytes hervorrufen. Eine Anfrage mit einer Größe von 50 Bytes kann damit zu einer Antwort von 5000 Bytes führen - dies entspricht einer Verstärkung (Amplification) mit dem Faktor 100. Ein Angreifer muss somit nur einen Bruchteil der Daten senden, die sein Ziel treffen. Ein Bot mit einer Bandbreite von 10 Mbps kann somit einen Angriff von 1 Gbps führen - ein ganzes Botnetz kann damit einfach Hunderte von Gbps erreichen.

Selbst eine simple Anfrage nach einem A-Record mit einer Paketgröße von 74 Bytes kann zu einer Antwort von 508 Bytes führen (der Verstärkungsfaktor beträgt hierbei circa 7 (508/74)). Eine solche Anfrage mit der passenden Antwort könnte wie folgt aussehen (hier ohne Layer 2- und Layer 3-Header):

DNS Amplification Request
Anfrage von Client (IP A.B.C.D) an DNS-Resolver (IP Q.W.E.R) nach „www.thefqdn.de“ – Paketgröße 74 Bytes (©Link11)
DNS Amplificatoin Reply
Antwort von DNS-Resolver (IP Q.W.E.R) an Client (IP A.B.C.D) – Paketgröße 508 Bytes (©Link11)

Die Kommunikation des Botnetzes inklusive der Verstärkung gestaltet sich wie folgt:
 

DNS Amplification Botnet
©Link11

Das Angriffsziel ist dabei mehreren Gefahren ausgesetzt:

  • Überlastung der Internetanbindung
  • Überlastung von Komponenten, welche die Pakete bearbeiten müssen
  • etc.

Im schlimmsten Fall führt ein solcher Angriff zum kompletten Ausfall der Internetanbindung des Angriffsziels.

Zurück zur Übersicht

Neueste Blogbeiträge

Bedrohungslage: Die größten DDoS-Attacken im Jahr 2018 (Infografik)

IT-Sicherheit: Was ist Cloud Security? Maßnahmen, Gefahren, Trends

Presse: Link11 erhält Patent für DDoS-Schutz-Filter

Bedrohungslage: DDoS-Report von Link11 bestätigt steigende Komplexität und Volumen der Attacken

IT-Sicherheit: Cyber Resilience: Was ist das?

Presse: Ausgezeichnet: TeleTrust-Innovationspreis für WAF von Link11

Bleiben Sie informiert über aktuelle DDoS-Reports, Warnmeldungen und Neuigkeiten zu IT-Sicherheit, Cybercrime und DDoS-Schutz.

Anmelden

Informiert bleiben!

Link11 Blog abonnieren mit News zum Unternehmen, IT-Security, Cybercrime

Anmelden

Kategorien

Link11GmbH​

Folgen Sie Link11 auf Twitter

24. February 2020 09:10

RT @MarcWilczek: Combating #Cybercrime needs energy! Today we had a really nice cocking event together with the @Link11GmbH team in #Frankf…

3 Retweets   0

21. February 2020 10:07

RT @MarcWilczek: Europeans are better informed about #cybercrime but are becoming increasingly concerned about their own #security, accordi…

4 Retweets   0

21. February 2020 10:07

RT @MarcWilczek: Cyberattacks can wreak havoc on a company. #Equifax's stock dropped more than 31% after the firm revealed that it had been…

3 Retweets   0

20. February 2020 15:20

RT @MarcWilczek: Cyberattacks are the #1 risk for business leaders, according to the @wef. The paradigm shift toward always-on IT requires…

8 Retweets   0

20. February 2020 13:34

RT @MarcWilczek: Precaution pays off and is so much cheaper than cure: #CyberSecurity Leaders stop more attacks and resolve breaches faster…

12 Retweets   0

19. February 2020 09:35

RT @MarcWilczek: 2,200 execs polled globally: Only 58% have a formal security policy, but a mere 28% of those say their employees have broa…

5 Retweets   0

19. February 2020 09:35

RT @MarcWilczek: Despite increasing #cybercrime and dependency on digital revenues, many CEOs operate in the dark. A stunning 63% of CISOs…

3 Retweets   0

18. February 2020 15:09

Link11 Report: "Distributed Denial of Service Report für das Jahr 2019". Laden Sie den Report jetzt herunter und le…

2 Retweets   0

Mehr lesen
18. February 2020 13:50

RT @MarcWilczek: New research shows #cybersecurity incidents that exposed 5 billion records cost an estimated $45 billion in 2018. #BEC and…

13 Retweets   0

18. February 2020 13:04

RT @cm_alliance: Joss Penfold, Regional Director UK Link11 Wisdom of Crowds London 2019 Cybersecurity Events #YouTube #YouTubersReact #Rea…

1 Retweets   0

17. February 2020 09:27

RT @JMitchell52: Complexity and volume of DDoS attacks continues to grow (@Link11GmbH Report) via @continuitycent #…

1 Retweets   0

Mehr lesen
17. February 2020 09:27

RT @FintechFor: RT @Observatore2: Cyber Attacks on Financial Institutions {#Infographic} By @Link11GmbH via @Fisher85M @Observatore2 @inte…

4 Retweets   0