DNS Amplification Attack

DNS Amplification Attack

Die DNS Amplification Attack (dt. DNS Verstärkungsangriff) ist ein Denial of Service Angriff, bei dem unter Einbeziehung des Domain Name Systems extrem große Datenströme auf den Internet-Anschluss des Opfers gelenkt werden. Ziel ist es, diesen Internetanschluss zu überlasten und damit einen wirtschaftlichen Schaden zu verursachen.

Ablauf

Bei der DNS Amplification Attack wird ausgenutzt, dass Nameserver in bestimmten Fällen auf kurze Anfragepakete mit sehr langen Paketen antworten. Theoretisch kann eine 60 Bytes lange Anfrage eine mehr als 3000 Bytes lange Antwort provozieren. Es liegt also ein Verstärkungsfaktor von mehr als 50 vor. Mittels IP-Spoofing wird diese Antwort auf die IP-Adresse des Opfers gelenkt. Sendet ein Angreifer beispielsweise einen konstanten Datenstrom von 100 Megabits pro Sekunde an verschiedene offene Nameserver im Internet, so erzeugen diese bei einem Verstärkungsfaktor von 50 eine Last von 5 Gigabits pro Sekunde beim Opfer. Hinzu kommt ein höherer Rechenaufwand aufgrund der IP-Fragmentierung.

DNS Amplification Attacks sind erst durch die DNS-Erweiterung EDNS praktikabel geworden, da vorher die maximale Länge eines DNS-Pakets 512 Bytes betrug (was einem Verstärkungsfaktor von unter 10 entspricht). In der Praxis werden derartige Angriffe als Distributed Denial of Service Angriffe durchgeführt, bei denen zahlreiche vom Angreifer kontrollierte PCs von einem bestimmten Zeitpunkt an die DNS-Anfragen absenden. Ein möglicher zusätzlicher Effekt ist die Überlastung der beteiligten Nameserver.

Die Anonymisierung des Angriffs erschwert eine wirkungsvolle Abwehr. Für das Opfer sind nur die IP-Adressen der Nameserver sichtbar, nicht aber die des eigentlichen Angreifers. Ein flächendeckender Einsatz von Ingress Filtern würde einen wirksamen Schutz darstellen, weil dadurch der Eintritt von gespooften IP-Paketen ins Internet verhindert wird.

Beispiel

Der massivste DNS Amplification Angriff fand am 15. Februar 2006 statt. Ziel waren die DNS Root Nameserver (also die wichtigsten Nameserver des Internets), bei denen einige in einem Zeitraum von 20 Minuten Datenströme von ca. 60 Megabits pro Sekunde verzeichneten.


Wikimedia Foundation.

Игры ⚽ Поможем решить контрольную работу

Schlagen Sie auch in anderen Wörterbüchern nach:

  • DNS-Server — Domain Name System (DNS) Familie: Internetprotokollfamilie Einsatzgebiet: Namensauflösung Ports: 53/UDP, 53/TCP DNS im TCP/IP‑Protokollstapel: Anwendung DNS Transport UD …   Deutsch Wikipedia

  • DNS Server — Domain Name System (DNS) Familie: Internetprotokollfamilie Einsatzgebiet: Namensauflösung Ports: 53/UDP, 53/TCP DNS im TCP/IP‑Protokollstapel: Anwendung DNS Transport UD …   Deutsch Wikipedia

  • DNS Root Nameserver — globale Anycast Instanz des K Root Servers im AMS IX Root Nameserver, oft auch nur Root Server genannt, publizieren verlässlich die Root Zone des Domain Name Systems (DNS) im Internet. Diese Datei besteht aus ca. 2.500 Einträgen und ist die… …   Deutsch Wikipedia

  • Denial-of-service attack — DoS redirects here. For other uses, see DOS (disambiguation). DDoS Stacheldraht Attack diagram. A denial of service attack (DoS attack) or distributed denial of service attack (DDoS attack) is an attempt to make a computer resource unavailable to …   Wikipedia

  • Domain-Name-System — (DNS) Familie: Internetprotokollfamilie Einsatzgebiet: Namensauflösung Ports: 53/UDP, 53/TCP DNS im TCP/IP‑Protokollstapel: Anwendung DNS Transport UD …   Deutsch Wikipedia

  • Domain Name Server — Domain Name System (DNS) Familie: Internetprotokollfamilie Einsatzgebiet: Namensauflösung Ports: 53/UDP, 53/TCP DNS im TCP/IP‑Protokollstapel: Anwendung DNS Transport UD …   Deutsch Wikipedia

  • Domain Name Service — Domain Name System (DNS) Familie: Internetprotokollfamilie Einsatzgebiet: Namensauflösung Ports: 53/UDP, 53/TCP DNS im TCP/IP‑Protokollstapel: Anwendung DNS Transport UD …   Deutsch Wikipedia

  • Domänennamensystem — Domain Name System (DNS) Familie: Internetprotokollfamilie Einsatzgebiet: Namensauflösung Ports: 53/UDP, 53/TCP DNS im TCP/IP‑Protokollstapel: Anwendung DNS Transport UD …   Deutsch Wikipedia

  • Name-Server — Domain Name System (DNS) Familie: Internetprotokollfamilie Einsatzgebiet: Namensauflösung Ports: 53/UDP, 53/TCP DNS im TCP/IP‑Protokollstapel: Anwendung DNS Transport UD …   Deutsch Wikipedia

  • Name Server — Domain Name System (DNS) Familie: Internetprotokollfamilie Einsatzgebiet: Namensauflösung Ports: 53/UDP, 53/TCP DNS im TCP/IP‑Protokollstapel: Anwendung DNS Transport UD …   Deutsch Wikipedia

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”