Web-Giganten scrambled to Head Off eine gefährliche DDoS-Technik
Web-Giganten scrambled to Head Off eine gefährliche DDoS-Technik
Andy Greenberg Sicherheit 05.19.2020 06:00 AM
Web-Giganten scrambled to Head Off eine gefährliche DDoS-Technik
Firmen wie Google und Cloudflare rannten an, um einen
Amplifikationsangriff zu verhindern, der
mit nur wenigen hundert Geräten
große Teile des Internets zu vereisten drohte.
Im Oktober 2016 ein Botnet von gehackten Überwachungskameras und
Internet-Router namens Mirai zielte auf eine gigantische Flut von
Junk-Traffic auf den Servern von Dyn, eines der Unternehmen, die das
globale Verzeichnis für das Web bekannt als Domain Name System oder DNS.
Der Angriff nahm Amazon, Reddit, Spotify und Slack vorübergehend für
Nutzer entlang der Ostküste der USA. Nun sagt eine Gruppe von Forschern,
dass eine Schwachstelle in DNS ein ähnliches Angriffsausmaß ermöglichen
könnte, aber viel weniger gehackte Computer erfordert. Seit Monaten
eilen die für das Telefonbuch des Internets verantwortlichen
Unternehmen, um es zu beheben.
Heute veröffentlichten Forscher der Universität Tel Aviv und des
Interdisziplinären Zentrums von Herzliya in Israel neue Details einer
Technik, von der sie sagen, dass sie es einer relativ kleinen Anzahl von
Computern ermöglichen könnte, verteilte Denial-of-Service-Angriffe in
großem Umfang durchzuführen, wobei Ziele mit betrügerischen
Informationsanfragen überwältigt werden, bis sie offline geschaltet
werden. Die DDoS-Technik, die die Forscher NXNSAttack nannten, nutzt
Schwachstellen in gängiger DNS-Software aus. DNS konvertiert die Von
Ihnen angeklickten oder eingegebenen Domainnamen in die Adressleiste
Ihres Browsers in IP-Adressen. Aber der NXNSAttack kann dazu führen,
dass ein unwissender DNS-Server jedes Mal Hunderttausende von
Anforderungen ausführt, wenn ein Hacker-Computer nur einen sendet.
Dieser multiplikative Effekt bedeutet, dass ein Angreifer nur eine
Handvoll gehackter Maschinen oder sogar eigene Geräte verwenden könnte,
um leistungsstarke DDoS-Angriffe auf DNS-Server durchzuführen, was
möglicherweise zu Störungen im Mirai-Maßstabführen könnte. "Mirai hatte
etwa 100.000 IoT-Geräte, und hier denke ich, dass man mit nur ein paar
hundert Geräten die gleiche Wirkung haben kann", sagt Lior Shafir, einer
der Forscher der Universität Tel Aviv, dessen Arbeit von Yehuda Afek und
ANat Bremler-Barr von IDC Herzliya überwacht wurde. "Es ist eine sehr
ernste Verstärkung", fügt Shafir hinzu. "Sie könnten dies nutzen, um
kritische Teile des Internets zu fallen."
Oder zumindest hätten Sie es vor ein paar Monaten tun können. Seit
Februar haben die Forscher eine breite Sammlung von Unternehmen, die für
die Infrastruktur des Internets verantwortlich sind, auf ihre Ergebnisse
aufmerksam gemacht. Die Forscher sagen, dass diese Firmen,
einschließlich Google, Microsoft, Cloudflare, Amazon, Dyn (jetzt im
Besitz von Oracle), Verisign und Quad9 haben alle ihre Software
aktualisiert, um das Problem zu beheben, wie mehrere Hersteller der
DNS-Software, die diese Unternehmen verwenden.
"Selbst wenn einige von ihnen gepatcht sind, wird es immer eine geben,
die kein Update erhalten hat."
Dan Kaminsky, Weiße Ops
Obwohl DNS-Verstärkungsangriffe nicht neu sind, stellt NXNSAttack eine
besonders explosive dar. In einigen Fällen, sagen die Forscher, ist es
in der Lage, die Bandbreite von nur wenigen Maschinen so viel wie
1.600-fach multiplizieren. Und selbst nach Monaten des koordinierten
Patchens könnten Ecken des Internets immer noch anfällig für die Technik
bleiben, sagt Dan Kaminsky, Chefwissenschaftler bei der Sicherheitsfirma
White Ops und ein bekannter DNS-Forscher. Im Jahr 2008 fand Kaminsky
einen grundlegenden Fehler in DNS, der Es Hackern zu ermöglichen drohte,
Benutzer, die versuchen, eine Website zu besuchen, auf eine
betrügerische Website ihrer Wahl umzuleiten, und startete in ähnlicher
Weise eine koordinierte Lösung über große DNS-Anbieter hinweg. Schon
damals dauerte es Monate, bis Kaminskys Fehler – einer, der viel
schwerwiegender war als NXNSAttack – nahezu vollständig gepatcht war.
"Es gibt eine Million dieser Dinge, und selbst wenn einige von ihnen
gepatcht sind, wird es immer eine geben, die kein Update erhalten hat",
sagt Kaminsky über die DNS-Server, die im Internet verteilt sind. "Dies
ist eine sehr gute Arbeit darüber, wie DNS fehlschlagen kann."
Um zu verstehen, wie der NXNSAttack funktioniert, hilft es, die größere
hierarchische Struktur von DNS über das Internet zu verstehen. Wenn ein
Browser nach einer Domäne wie google.com sucht, überprüft er einen
DNS-Server, um die IP-Adresse dieser Domäne zu ermitteln, eine Zahl wie
64.233.191.255. In der Regel werden diese Anforderungen von
DNS-"Resolver"-Servern beantwortet, die von DNS-Anbietern und
Internetdienstanbietern gesteuert werden. Wenn diese Resolver jedoch
nicht über die richtige IP-Adresse verfügen, bitten sie einen
"autorisierenden" Server, der bestimmten Domänen zugeordnet ist, um eine
Antwort.
Der NXNSAttack missbraucht die vertrauenswürdige Kommunikation zwischen
diesen verschiedenen Ebenen der DNS-Hierarchie. Es erfordert nicht nur
Zugriff auf eine Sammlung von PCs oder anderen Geräten – von einem
einzelnen Computer bis zu einem Botnetz –, sondern auch die Erstellung
von DNS-Servern für eine Domäne; nennen sie "attacker.com". (Die
Forscher argumentieren, dass jeder diese Einrichtung für nur ein paar
Dollar zusammenstellen kann.) Dann würde der Angreifer eine Flut von
Anfragen von seinen Geräten für die Domäne senden, die sie
kontrollieren, oder genauer gesagt eine Reihe von gefälschten Subdomains
wie 123.attacker.com, 456.attacker.com und so weiter, indem er
Zeichenfolgen von Zufallszahlen verwendet, um die
Subdomain-Anforderungen ständig zu variieren.
Bei versuchten Webbesuchen wird der Resolverserver eines DNS-Anbieters
dazu veranlassen, sich mit einem autorisierenden Server zu erkundigen,
der in diesem Fall der DNS-Server unter der Kontrolle des Angreifers
ist. Anstatt lediglich eine IP-Adresse anzugeben, teilt dieser
autorisierende Server dem Resolver mit, dass er das Ziel der
angeforderten Subdomänen nicht kennt, und weist den Resolver an,
stattdessen einen anderen DNS-autorisierungsserver nach der IP-Adresse
zu fragen, und die Anforderung an eine Zieldomäne nach Wahl des
Angreifers weitergibt.
Die Forscher fanden heraus, dass sie jede Anfrage für eine dieser nicht
vorhandenen Subdomains in ihrer eigenen attacker.com Domäne an Hunderte
von nicht existierenden Subdomains weiterleiten konnten, die alle zu
einer Zieldomäne gehören, wie z. B. victim.com. Diese Hunderte von
Anforderungen könnten es einem Hacker ermöglichen, nicht nur die
Resolver-DNS-Server zu überwältigen, indem er sie dazu verleitet, mehr
Anforderungen zu senden, als die Server verarbeiten können – was
möglicherweise einen Teil des DNS-Anbieterdienstes abbaut, wie es beim
Mirai-Botnet-Angriff auf Dyn geschehen ist –, sondern auch die
autoritativen DNS-Server des Opfers überfluten, die diese Anforderungen
empfangen, wodurch dieses Ziel victim.com Website entfernt werden
könnte.
Ein gut verteidigtes Ziel würde wahrscheinlich erkennen, dass sich ein
einzelner böswilliger DNS-Server hinter dem Angriff befand, und nicht
mehr auf Anforderungen reagieren, die von der Domäne des Angreifers
verwiesen werden. Aber die Universität von Tel Aviv Shafir weist darauf
hin, dass Angreifer mehrere Domains verwenden können, um den Angriff zu
variieren und den Schmerz zu verlängern. "Man kann Dutzende wie diese
haben und sie alle paar Minuten ändern", sagt Shafir. "Es ist sehr
einfach."
In einer anderen Variante des Angriffs fanden die Forscher heraus, dass
ein Hacker sogar NXNSAttack auf nicht existierende Top-Level-Domains –
gefälschte Suffixe von Webadressen wie ".fake" – lenken konnte, um die
sogenannten Root-Server anzugreifen, die verfolgen, wo autoritative
Server für Top-Level-Domains wie .com und .gov gefunden werden können.
Während diese Root-Server sind in der Regel entworfen, um sehr große
Bandbreite haben, die Forscher sagen, sie könnten mehr gefälschte
Domains von diesen Zielservern als sie für gefälschte Subdomains in den
anderen Versionen ihres Angriffs, potenziell multiplizieren jede
Anforderung mit mehr als tausendfach und bedrohlich große Teile des
gesamten Webs.
"Wenn Sie versuchen, einen Root-Server anzugreifen, wird der Angriff
viel zerstörerischer", sagt Shafir. "Wir können nicht beweisen, dass sie
abgerissen werden können, weil sie sehr starke Server sind, aber die
Verstärkung ist sehr hoch und das sind die wichtigsten Vorteile. Teile
des Internets würden in diesem schlimmsten Fall überhaupt nicht
funktionieren."
Als WIRED auf eine Sammlung der wichtigsten DNS-Anbieter des Internets
zukam, reagierten Google, Microsoft und Amazon nicht sofort. Dyns
Muttergesellschaft Oracle sagte, sie prüfe die Forschung. "Der
NXNSAttack hat einen großen Verstärkungsfaktor für einige
DNS-Implementierungen, aber für Cloudflare war die Verstärkung gering
und wurde durch die jüngsten Änderungen an unserer DNS-Software
reduziert", schrieb John Graham-Cumming, Chief Technology Officer von
Cloudflare. "Da die DNS-Verstärkung ein häufiges Problem ist, mit dem
die Branche zu kämpfen hat, verfügte Cloudflare bereits über
Abschwächungen, um zu verhindern, dass unser Dienst für große
Amplifikationsangriffe verwendet wird."
"Teile des Internets würden überhaupt nicht funktionieren."
Lior Shafir, Universität Tel Aviv
John Todd, der Geschäftsführer des gemeinnützigen DNS-Anbieters Quad9,
schrieb in einer E-Mail, dass "diese Bedrohung ziemlich real ist/war",
stellte aber auch fest, dass es "etwas komplex ist, sie bereitzustellen
und einige Fingerabdrücke zu hinterlässt", da der Angreifer seine
eigenen DNS-Domänen ausführen müsste. Er stellte auch fest, dass die
meisten DNS-Server von Unternehmen nur auf IP-Adressen innerhalb des
Unternehmens reagieren, das sie besitzt, obwohl Internetdienstanbieter
eher anfällig dafür sind, dass ihre DNS-Server von der
NXNSAttack-Technik gekapert werden.
Angesichts der weit verbreiteten Patching bereits in Kraft, NXNSAttack
stellt wahrscheinlich weniger eine kritische Bedrohung als es eine
Erinnerung daran, wie die Infrastruktur des Internets ständig gepflegt
und geschützt werden muss.
"Aus meiner Sicht bin ich einfach nur begeistert, dass die Art der
Zusammenarbeit, die ich 2008 zurückbekommen habe, auch 2020 noch
passiert", sagt Kaminsky von White Ops. "Das Internet ist nicht etwas,
das überleben würde, wenn es nicht jedes Mal, wenn jemand etwas in Brand
setzte, aktiv wieder zusammengeflickt würde."
https://www.wired.com/story/dns-ddos-amplification-attack/
s/
Di