Forscher vereiteln DDoS-Techniken, die groß angelegte Cyberangriffe bedrohten

Kredit: CC0 Public Domain

Im Oktober 2016 hat ein Cyberangriff Amazon, Reddit, Spotify und Slack für Benutzer entlang der US-Ostküste vorübergehend lahmgelegt. Mirai, ein Botnet gehackter Sicherheitskameras und Internetrouter, richtete eine Flut von Junk-Traffic auf die Server von Dyn, einem Unternehmen, das das globale Verzeichnis (oder Telefonbuch) für das Web bereitstellt, das als Domain Name System oder DNS bekannt ist.

Nun sagen Forscher der Universität Tel Aviv und des Interdisziplinären Zentrums (IDC) von Herzliya, dass eine Schwäche im DNS zu einem Angriff von viel größerem Ausmaß geführt haben könnte.

In ihrer neuen Studie, die im August 2020 auf der USENIX-Sicherheitskonferenz vorgestellt wird, hat die Forschungsgruppe unter der gemeinsamen Leitung von Prof. Yehuda Afek von der Blavatnik School of Computer Science der TAU und Prof. Anat Bremler-Barr, Prodekanin des IDC’s Die Efi Arazi School of Computer Science liefert zusammen mit dem TAU-Doktoranden Lior Shafir neue Details einer Technik, die es einer relativ kleinen Anzahl von Computern ermöglicht hätte, massive DDoS-Angriffe (Distributed Denial of Service) durchzuführen und Ziele mit falsche Informationsanfragen, bis sie offline geworfen wurden.

Bereits im Februar hatten die Forscher eine breite Gruppe von Unternehmen, die für die Infrastruktur des Internets verantwortlich sind, auf ihre Ergebnisse aufmerksam gemacht. Die Forscher sagen, dass diese Firmen, darunter Google, Microsoft, Cloudflare, Amazon, Dyn (jetzt im Besitz von Oracle), Verisign und Quad9, ihre Software aktualisiert haben, um das Problem zu lösen, ebenso wie mehrere Hersteller der DNS-Software, die diese Unternehmen verwenden.

Durch gemeinsame Forschungsprojekte haben Prof. Afek und Prof. Bremler-Barr in den letzten zwei Jahrzehnten bereits Hunderttausende DDoS-Cyberangriffe gestoppt, angefangen mit dem Design des ersten DDoS-Attacken-Scrubber-Servers bei Riverhead Networks, einem von ihnen mitgegründeten Unternehmen mit Dr. Dan Touitou im Jahr 2001.

„Das DNS ist das wesentliche Internetverzeichnis“, erklärt Prof. Bremler-Barr. „Tatsächlich kann das Internet ohne DNS nicht funktionieren. Im Rahmen einer Studie zu verschiedenen Aspekten des DNS haben wir zu unserer Überraschung einen sehr schwerwiegenden Verstoß entdeckt, der das DNS angreifen und große Teile des Netzwerks lahmlegen könnte.“

Die neue DDoS-Technik, die die Forscher NXNSAttack (Non-Existent Name Server Attack) nannten, nutzt Schwachstellen in gängiger DNS-Software aus. DNS wandelt die Domainnamen, die Sie anklicken oder in die Adressleiste Ihres Browsers eingeben, in IP-Adressen um. Aber der NXNSAttack kann dazu führen, dass ein unwissender DNS-Server Hunderttausende von Anfragen als Reaktion auf nur eine einzige Hacker-Anfrage ausführt.

„Der Angriff im Jahr 2016 nutzte über 1 Million IoT-Geräte, während wir hier die gleichen Auswirkungen mit nur wenigen Hundert sehen“, sagt Prof. Afek. “Wir sprechen von einer großen Verstärkung, einem großen Cyberangriff, der kritische Teile des Internets lahmlegen könnte.”

Wenn ein Client-Rechner versucht, eine bestimmte Ressource im Internet zu erreichen, sendet er eine Anfrage mit dem Namen der Ressource an einen DNS-Server vom Resolver-Typ, der für die Übersetzung des angeforderten Namens in eine IP-Adresse verantwortlich ist . Um die benötigte IP-Adresse zu finden, tritt der Resolver in einen Nachrichtenaustausch mit mehreren DNS-Servern eines anderen Typs, die als „autoritativ“ bezeichnet werden. Die autoritativen Server leiten den Resolver von einem zum anderen um und sagen ihm im Wesentlichen, dass er “gehen und diesen fragen” soll, bis der Resolver einen autoritativen Server erreicht, der die endgültige Antwort kennt – die angeforderte IP-Adresse.

„Um den NXNSattack zu mounten“, fährt Prof. Afek fort, „erwirbt ein Angreifer entweder für einen vernachlässigbaren Preis oder dringt einfach in einen autoritativen Server ein, der den Resolver umleiten würde, um eine enorme Anzahl von Anfragen an die autoritativen Server zu senden. Dies geschieht, während der Resolver versucht, die spezielle Anfrage des Angreifers zu beantworten.

“Der Angreifer sendet eine solche Anfrage mehrmals über einen langen Zeitraum, was einen Tsunami von Anfragen zwischen den DNS-Servern erzeugt, die anschließend überfordert sind und nicht in der Lage sind, auf die legitimen Anfragen tatsächlich legitimer Benutzer zu reagieren.”

Shafir erklärt weiter: „Ein Hacker, der diese Schwachstelle entdeckt hätte, hätte sie dazu verwendet, einen Angriff zu generieren, der entweder auf einen Resolver oder einen autoritativen DNS-Server an bestimmten Stellen im DNS-System abzielt Dienste blockiert, die aufgrund der überwältigenden Anzahl von Anfragen nicht funktionieren können. Es würde legitime Benutzer daran hindern, die gesuchten Ressourcen im Internet zu erreichen.”

Die Forschung für die Studie war Teil von Herrn Shafirs Ph.D. Arbeit; er baute ein Setup mit einem autoritativen Server auf, auf dem er einen Angriff auf die Server simulierte, einen Tsunami von Anfragen zwischen den Servern erzeugte und sie dadurch außer Gefecht setzte.

„Unsere Entdeckung hat großen potenziellen Schaden an Webdiensten verhindert, die von Millionen von Nutzern weltweit genutzt werden“, schließt Prof. Yehuda Afek. “Der Cyberangriff von 2016, der als der größte der Geschichte gilt, hat in den USA einen Großteil des Internets zerstört. Aber ein Angriff wie der, den wir jetzt verhindert haben, hätte mehr als 800-mal stärker sein können.”


Leave a Comment