FSK B

>b's weblog

News. Journal. Whatever.

BeigeOjalá

DNS Amplifying Attacks nerven

Betreibt man einen DNS-Server als Open Resolver, so wird die eigene Maschine gerne als Zwischenschritt für einen Angriff auf Dritte missbraucht.

Dabei sendet der Angreifer ein UDP-Datagramm mit einer DNS-Anfrage an viele DNS-Server, allerdings mit einer gefälschten Absenderadresse, der des Opfers nämlich. Jeder DNS-Server beantwortet dann die Anfrage dem Opfer statt dem eigentlichen Absender. Das kann ähnlich einer Smurf Attack für einen DDoS-Angriff genutzt werden, wenn nämlich die Antwort viel grösser ist als die Frage. So kann der Angreifer billig ein paar Fragen aussenden, und das Opfer erhält teuer alle ausführlichen Antworten zugestellt. Zur Zeit beobachte ich gefälschte Anfragen nach ANY? isc.org und ANY? ripe.net.

Jetzt werden Forderungen nach dem Schliessen von offenen Nameservern laut – es sollen nur noch kontrollierte Nameserver betrieben werden. Anfragen auf beliebige Adressen von beliebigen Computern im Internet sollen nicht mehr beantwortet werden.

Das ist aber kontraproduktiv; denn so wird das sonst offene Internet immer geschlossener, und immer mehr zu einem Kindernet – dumme Konsumenten sollen nur das serviert bekommen, was die Aufsicht ausstrahlt. Entsprechend kann das nicht die Reaktion sein. Es gibt aber einen einfachen Trick um DNS Amplifying Attacks so abzumildern, dass sie im Wesentlichen keine Wirkung mehr zeigen: man setzt ein Rate Limit auf DNS-Anfragen, begrenzt also die Anzahl der beantworteten Anfragen pro Zeit pro Anfrageadresse. Dann wird zwar immer noch gleich viel angefragt, aber es wird pro Zeit bei weitem nicht mehr so viel beantwortet. Und normale Nutzer spüren im Wesentlichen nichts. In netfilter sieht das z.B. so aus:

/sbin/iptables -I INPUT -p udp -d $EXT_IP --dport 53 -m recent \
    --update --name dnsrate --seconds 10 --hitcount 5 -j DROP

/sbin/iptables -I INPUT -p udp -d $EXT_IP --dport 53 -m recent \
    --set --name dnsrate
publiziert Fri, 02 Nov 2012 06:37:56 +0100 #informationsfreiheit #internet #technik

Zurück zum Blogindex