Menü

IETF 97: DNSSEC als Wellenbrecher gegen DDoS-Attacken

Für manche Entwickler ist ein Merkmal der Domain Name Security Extensions nun zum "besten Argument für den kommerziellen Einsatz" der DNSSEC-Technik geworden – weil es gegen überhandnehmende DDoS-Attacken helfen kann.

IETF 97: DNSSEC als Wellenbrecher gegen DDoS-Attacken

(Bild: CC BY-SA 2.5)

Zwischengespeicherte DNS-Antworten könnten gegen das besorgniserregend hohe Verkehrsaufkommen helfen, das Angreifer in jüngerer Zeit mittels DDoS-Attacken (Distributed Denial of Service) gegen das Domain Name System (DNS) in Stellung bringen. Damit könnten Root-Server und authoritative Server zumindest für massenhaft abgeschickte sinnlose Anfragen nach nichtexistenten Domainnamen aus der Schusslinie genommen werden, beschworen DNSSEC-Experten am Rande des 97. Meetings der Internet Engineering Task Force im südkoreanische Seoul.

Bei dieser Abwehrmethode sind rekursive Resolver die letzten Elemente der DNS-Hierarchie, die von den Anfragen betroffen sind. Die Methode gründet darauf, dass die Resolver NSEC/NSEC3-Einträge für eine Weile zwischenspeichern, die sie einmal vom authoritativen Server oder vom Root-Server erhalten haben. Innerhalb der Speicherfrist (TTL) ignorieren sie die massenhaften Anfragen nach nicht exisitierenden Domains, anstatt sie wie bisher an Authoritative Server und Root-Server weiterzuleiten und so die Angriffswelle zu verstärken.

Anzeige

Einen Entwurf für das NSEC/NSEC3 Aggressive Negative Caching gibt es bereits. Damit soll der Trick, der nicht ganz neu ist, in der DNSSEC-Standardsuite Eingang finden. Bisher merken sich Resolver lediglich die DNS-Antworten für Anfragen nach existierenden Domains, nicht aber die Antworten auf Anfragen für nicht-existierende Domains.

Mittels NSEC/NSEC3 lassen sich jedoch Antworten für ganze Bereiche von nicht existenten Domains zwischenspeichern. Der Entwurf erklärt das so: Fragt ein Resolver nach der nicht registrierten Domain cat.example.com, antwortet der für example.com authoritative DNS-Server, dass zwischen apple.example.com und elephant.example.com kein Eintrag zu finden ist. Der Resolver versteht dann zusätzlich, dass zum Beispiel auch delfin.example.com nicht existiert, genauso wie alle weiteren Namen zwischen apple und elephant. Und die Antwort kommt aus vertrauenswürdiger, DNSSEC-authentischer Quelle.

Bislang wird die Zusatzinformation über ungenutzte Bereiche nicht weiter genutzt, Resolver legen im Cache lediglich die Antwort für den exakt angefragten Namen ab. Laut den Autoren des neuen Vorschlags liegt das vor allem daran, dass während der Aufbewahrungsfrist von gecachten Antworten neue Domains innerhalb des leeren Bereichs registriert werden könnten. Ein Resolver würde dann einen neuen Domaineintrag im zuvor leeren Bereich bis zum Ende der Zwischenspeicherfrist fälschlicherweise nicht melden. Das will man nun offenbar in Kauf nehmen. Denn lässt man das Caching für komplette Bereiche zu und verwirft Anfragen nach nichtregistrierten Domains, kann man authoritativen Servern und Rootservern eine Menge Verkehr ersparen. Das sei schon im Normalbetrieb attraktiv, meinen die Autoren. (Monika Ermert) / (dz)

Anzeige