Menü
Security

DDoS auf Heise über zu offene DNS-Server

vorlesen Drucken Kommentare lesen 186 Beiträge

Während des Angriffs konnte der Server zeitweise keine Anfragen mehr beantworten, weil diese ihn nicht mehr erreichten.

Zwischen 14:00 und 15:00 Uhr am gestrigen Donnerstag war heise online zeitweise nicht oder nur schlecht zu erreichen. Ursache war ein verteilter Denial-of-Service-Angriff (DDoS), der falsch konfigurierte Nameserver missbrauchte, um die Infrastruktur vor den Servern zu überlasten. Nachdem die Administratoren den Angriff abgeblockt hatten, ebbte die Datenflut relativ bald wieder ab.

Konkret schütteten rund 3000 Nameserver die heise-online-Server über eine Stunde kontinuierlich mit Antworten auf Anfragen zu, die diese nie gestellt hatten. Die zu offen eingestellten DNS-Server wurden von Unbekannten als Verstärker für ihren Angriff missbraucht. Die Idee dahinter ist einfach: Wenn ein Nameserver so konfiguriert ist, dass er Anfragen von beliebigen Rechnern beantwortet, schickt man ihm eine DNS-Anfrage mit der gefälschten Absender-IP-Adresse des Heise-Servers. Da DNS-Anfragen über das statuslose UDP abgewickelt werden, funktioniert dieses Fälschen von IP-Adressen ganz einfach. Um möglichst viel Traffic zu erzeugen, fragt der Angreifer auch nicht nur nach einer einfachen IP-Adresse sondern nach möglichst großen TXT-Records. Die schickt der DNS-Server dann an den vermeintlichen Absender der Anfrage – den Heise-Server. Dabei kam insgesamt UDP-Traffic mit ganz grob geschätzt 1 GBit/s zusammen, der die Router des Hosters lahmlegte.

Die offenen DNS-Server verstärken den Angriff um ein Vielfaches.

Derartige DNS-DDoS-Angriffe sind seit über sechs Jahren bekannt, kommen aber derzeit wieder verstärkt in Mode, wie auch iX im neuen Heft 9/12 berichtet. Administratoren von DNS-Servern sollten deshalb unbedingt ihre Konfiguration überprüfen, ob sichergestellt ist, dass nur die Client-IP-Adressen, für die sie zuständig sind, rekursive Anfragen stellen dürfen. Denn die früher einmal gut gemeinte Großzügigkeit gegenüber Fremden wird heute für Angriffe missbraucht. Beim populären Nameserver Bind stellt man das über den Parameter allow-recursion ein. Darüber hinaus ist zu beachten, dass ältere Bind-Versionen vor 9.5 auch rekursive Anfragen an nicht autorisierte Clients beantworteten, wenn sie die Antwort bereits im Cache haben (auth-from-cache). Man sollte also entweder auf eine neuere Version upgraden oder dieses Verhalten abstellen. (ju)