DDoS-Reflection-Angriffe (Offene DNS-Resolver)

Bestimmte Netzwerkdienste, die offen für Dritte im Internet verfügbar sind (allen voran DNS, aber durchaus auch NTP, SSDP, SNMP) können für Angriffe gegen Dritte genutzt werden. Das Risiko ist recht hoch, weswegen auch proaktiv Betreiber dieser Dienste darauf hingewiesen werden, sich um das Problem zu kümmern.

Dabei ist es auch mir bereits passiert, dass im Zuge eines lieblos gefahrenen Updates ein DNS-Server plötzlich und von mir unbemerkt rekursive Anfragen zuliess (die ich vorher bewusst deaktiviert hatte). Daher mein Rat: Prüfen Sie Ihren Server und kümmern Sie sich darum.

Angriffsmethode DDoS-Reflection-Angriff

Die Angriffsmethodik ist relativ simpel: Da der offen betriebene Server Anfragen von Dritten annimmt, kann man ihm eine (bestimmungsgemäße) Anfrage senden. Diese Anfrage wird kombiniert mit einer Fake-Quelladresse, dies mit dem Ziel, dass die Antwort des Servers nicht an den Angreifer, sondern das Angriffsziel erfolgt. Je nach Konfiguration und Art des so genutzten Server-Diensts kann man dabei Verstärkungen, also Vervielfachungen des Grössenverhgältnisses zwischen Anfrage- und Antwortdatenpaket, im Bereich dem mehrfach hundertfachen erreichen.

Die Idee ist, dass durch parallele Inanspruchnahme einer Vielzahl derart offener Server-Dienste Datenverkehr mit erheblicher Bandbreit erzeugt wird – und das System des Opfers durch die schlichte Masse an Daten lahm gelegt wird (wodurch das ganze am Ende zum Denial-of-Service Angriff wird). Letztlich nutzt man dann das gesamte Vorgehen insbesondere für Erpressungen.

Abschalten entsprechender Server

In Deutschland kümmert sich “CERT-Bund” darum, dass entsprechende offen betriebene Server-Dienste in Deutschland reduziert werden. Wenn derartige Server identifiziert werden, werden die entsprechenden Netzbetreiber angeschrieben, die dann alles weitere veranlassen – am Ende sind es dann die (mitunter sehr arglosen) Betreiber der Server, die eine Mail bekommen mit der Aufforderung, sich darum sofort zu kümmern – sonst droht eine Abschaltung. Das BSI hat hierzu in der Entwicklung eine sehr beachtliche Statistik veröffentlicht:

Quelle der Grafik: BSI; Datenquelle / Data source: Shadowserver

Hintergrund der Tätigkeit sind andauernd laufende Scans der “Shadowserver Foundation”, die als “nicht-kommerzieller Zusammenschluss weltweiter Sicherheitsexperten” bezeichnet wird. Deren Scan-Ergebnisse werden den nationalen CERT zur Verfügung gestellt.

Test der rekursiven Auflösung

Es geht recht einfach, wenn man prüfen möchte, ob der eigene Server falsch konfiguriert ist: Ein schlichtes “dig cert-bund.de @Server-IP” sollte die Antwort bringen, dass nicht aufgelöst wird:

Es geht aber sogar noch einfacher – indem man https://openresolver.com aufruft und seine IP-Adresse eingibt.

Umstellung des DNS

Es gibt die Möglichkeit, mit “allow-recursion” die IP-Räume einzuschränken, denen eine rekursive Abfrage erlaubt wird. Recht simpel finde ich die Erklärung in den Ubuntu-Foren (ich beschränke mich hier auf Linux).