Domain Name Server (DNS) immer häufiger für Attacken missbraucht

Veröffentlicht am 03.06.2013

Autorin: Monika Ermert

Das Domain Name System (DNS) ist eine Kerninfrastruktur fürs Internet. Das DNS ist eine Art autoritatives Adressbuch, in dem die leichter zu merkenden Namen den Rufnummern – IP-Adressen – der mit dem Internet verbundenen Geräte zuordnen. Ohne funktionierendes DNS kein Surfen über Webseiten, keine Email. Seit Jahren sind Domain Name Server Ziel immer massiverer Angriffe – etwa durch Überlastung mittels riesiger Mengen künstlich erzeugten Datenverkehrs.

Jetzt warnen DNS-Betreiber davor, dass das System an seine Grenzen kommt. Wie dringend der Handlungsbedarf ist, zeigten die Debatten beim Frühjahrstreffen des Domain Name System Operations Analysis and Research Center (DNS-OARC), eines Zusammenschlusses von DNS-Experten, Mitte Mai in Dublin. Manche DNS-Betreiber fragen sich schon: Braucht es Strafen für diejenigen, die nicht freiwillig für die Netzhygiene sorgen?

„Amplicifation-Reflection“-Angriffe lautet der Fachbegriff. Dabei werden, oft von gekaperten PCs aus und unter Ausnutzung offener DNS-Resolver, Anfragen an zentrale Server gesandt. Die offenen DNS-Resolver – das sind Server, über die ein Service Provider jedermanns Anfragen zulässt – sind ein Problem, heißt es auch beim Bundesamt für Sicherheit in der Informationstechnik.

Die Absenderadressen der Anfragen sind gefälscht und provozieren einen Strom von Antworten an das Opfer, dessen Website praktisch lahmgelegt wird. Die jüngste, breit diskutierte Attacke gegen Spamhaus, einen Betreiber schwarzer Listen gegen Spammer, erreichte in Spitzenzeiten 300 Gigabit pro Sekunde – und sie nährte sich aus der fingierten Abfrage des gesamten “DNS-Adressbuchs”.

DNS-Server werden zu “Komplizen”

Die bisherige Strategie wichtiger DNS-Betreiber, zentrale Systeme wie Registries für Adresszonen wie .com oder .de überzudimensionieren, wird inzwischen von Angreifern geschickt zum eigenen Vorteil ausgenutzt. Sie stellen die „Power“ autoritativer Server einfach in ihre Dienste, um andere Systeme mit Datenverkehr zu überrollen.

Die DNS-Betreiber würden, ohne es zu wollen, zu „Komplizen“ der Angreifer, warnte Ed Lewis, Direktor des technischen Personals bei Neustar, der Registrar für .us und .biz. Alles, was die Betreiber in den vergangenen Jahren getan hätten, um das DNS zu schützen, erweise sich jetzt als katastrophaler Fehler, denn „was wir getan haben, um das DNS-Protokoll besser zu machen, wird jetzt eingesetzt, um jemandem zu schaden.“ Das DNS sei praktisch das weltbeste System für Angriffe. Selbst Sicherungsmaßnahmen wie das DNSSEC-Protokoll, eigens geschaffen, um die Authentizität von DNS-Antworten zu gewährleisten, wird von trickreichen Angreifern genutzt: Die versendeten kryptographischen Schlüssel blasen nämlich den Datenverkehr noch weiter auf.

Freiwillig filtern oder auf die Regulierer warten?

Lewis’ Forderung lautete, das DNS müsse überarbeitet werden. Diese Idee wird jedoch von praktisch allen Experten rundweg verworfen. Nicht nur würde eine solche Entwicklung lange dauern. Die Umsetzung gliche ein wenig dem Auswechseln eines Betriebssystems bei einem Flugzeug 10.000 Meilen über dem Meer.

In ihrer Ratlosigkeit haben sich große DNS-Betreiber, so etwa die Internet Corporation for Assigned Names and Numbers (ICANN), dazu entschlossen, ein ehernes Gesetz im DNS zu brechen. Statt grundsätzlich alle Anfragen nach Top Level Domains zu beantworten, werden nun beim L-Rootserver, einem von 13 zentralen Servern des DNS, Filter eingesetzt, um Angriffsverkehr auszuschalten. Das Problem: Noch ist selbst den Experten unklar, wann und wie stark legitime Anfragen leiden.

Auch bei der de-Registrierungsstelle Denic in Frankfurt spielt man auch mit dem Gedanken an das sogenannte Rate Response Limiting. Aber auch von hier heißt es, derzeit sei man bestrebt, “eigene Erkenntnisse zu sammeln und Handlungsoptionen zu prüfen”. Prämisse sei, “den laufenden Betrieb sicherzustellen, möglichst diskriminierungsfrei zu handeln und trotzdem die Einbeziehung unserer Systeme in solche Angriffe nicht über einen längeren Zeitraum hinweg zu ermöglichen“, so die Denic.

Die technischen Mittel dazu sind vorhanden. Die Umsetzung kostet aber Geld und Zeit, und ist daher in den kostengetriebenen Hostermärkten nicht beliebt. Kann sich das selbstverwaltete Netz noch selbst aus der Schlinge ziehen, oder geht ohne gesetzliche Strafen nichts mehr – in Dublin gab es darauf noch keine Antwort.

Die E-Plus Gruppe unterstützt das Alexander von Humboldt Institut für Internet und Gesellschaft beim Aufbau einer Plattform zu Fragen der Internet-Regulierung. Der vorstehende Artikel erscheint im Rahmen dieser Kooperation auf UdL Digital.

Schlagworte

Empfehlung der Redaktion