No Comments

Web Giants haben sich auf den Weg gemacht, um eine gefährliche DDoS-Technik zu umgehen

Im Oktober 2016 richtete ein Botnetz aus gehackten Überwachungskameras und Internet-Routern namens Mirai eine gigantische Flut von Junk-Verkehr auf die Server von Dyn, einem der Unternehmen, das das globale Verzeichnis für das Web bereitstellt, das als Domain Name System oder DNS bekannt ist. Durch den Angriff wurden Amazon, Reddit, Spotify und Slack vorübergehend für Benutzer an der Ostküste der USA abgeschaltet. Jetzt sagt eine Gruppe von Forschern, dass eine Sicherheitslücke in DNS ein ähnliches Ausmaß an Angriffen ermöglichen könnte, jedoch weitaus weniger gehackte Computer erfordert. Seit Monaten beeilen sich die für das Telefonbuch des Internets verantwortlichen Unternehmen, das Problem zu beheben.

Heute haben Forscher der Universität Tel Aviv und des Interdisziplinären Zentrums von Herzliya in Israel neue Details einer Technik veröffentlicht, die es einer relativ kleinen Anzahl von Computern ermöglichen könnte, verteilte Denial-of-Service-Angriffe in großem Umfang durchzuführen und Ziele mit betrügerischen Informationsanfragen zu überwältigen bis sie offline geklopft sind. Die DDoS-Technik, die die Forscher NXNSAttack nannten, nutzt Schwachstellen in gängiger DNS-Software aus. DNS konvertiert die Domainnamen, auf die Sie klicken oder die Sie in die Adressleiste Ihres Browsers eingeben, in IP-Adressen. Der NXNSAttack kann jedoch dazu führen, dass ein unwissender DNS-Server jedes Mal Hunderttausende von Anforderungen ausführt, wenn ein Hacker-Computer nur eine sendet.

Dieser multiplikative Effekt bedeutet, dass ein Angreifer nur eine Handvoll gehackter Computer oder sogar seine eigenen Geräte verwenden kann, um leistungsstarke DDoS-Angriffe auf DNS-Server auszuführen, die möglicherweise Störungen im Mirai-Maßstab verursachen. “Mirai hatte 100.000 IoT-Geräte, und hier kann man mit nur wenigen hundert Geräten die gleiche Wirkung erzielen”, sagt Lior Shafir, einer der Forscher der Universität Tel Aviv. “Es ist eine sehr ernsthafte Verstärkung”, fügt Shafir hinzu. “Sie könnten dies nutzen, um kritische Teile des Internets niederzuschlagen.”

Oder zumindest könnten Sie vor ein paar Monaten haben. Seit Februar haben die Forscher eine breite Sammlung von Unternehmen, die für die Internetinfrastruktur verantwortlich sind, auf ihre Ergebnisse aufmerksam gemacht. Die Forscher sagen, dass diese Firmen, darunter Google, Microsoft, Cloudflare, Amazon, Dyn (jetzt im Besitz von Oracle), Verisign und Quad9, ihre Software aktualisiert haben, um das Problem zu beheben, ebenso wie mehrere Hersteller der DNS-Software, die diese Unternehmen verwenden.

Während DNS-Verstärkungsangriffe nicht neu sind, ist NXNSAttack besonders explosiv. In einigen Fällen, so die Forscher, ist es möglich, die Bandbreite von nur wenigen Maschinen um das 1.600-fache zu multiplizieren. Und selbst nach Monaten des koordinierten Patchens sind Ecken des Internets möglicherweise immer noch anfällig für diese Technik, sagt Dan Kaminsky, Chefwissenschaftler der Sicherheitsfirma White Ops und bekannter DNS-Forscher. Im Jahr 2008 stellte Kaminsky einen grundlegenden Fehler im DNS fest, der es Hackern drohte, Benutzer, die versuchen, eine Website zu besuchen, auf eine betrügerische Website ihrer Wahl umzuleiten, und startete in ähnlicher Weise einen koordinierten Fix für alle großen DNS-Anbieter. Selbst dann dauerte es Monate, bis Kaminskys Fehler – einer, der weitaus schwerwiegender war als NXNSAttack – fast vollständig behoben war.

“Es gibt eine Million dieser Dinge, und selbst wenn einige davon gepatcht sind, wird es immer eine geben, die nicht aktualisiert wurde”, sagt Kaminsky über die im Internet verteilten DNS-Server. “Dies ist eine sehr gute Arbeit darüber, wie DNS fehlschlagen kann.”

Um zu verstehen, wie der NXNSAttack funktioniert, ist es hilfreich, die größere hierarchische Struktur von DNS im Internet zu verstehen. Wenn ein Browser nach einer Domain wie google.com greift, überprüft er einen DNS-Server, um die IP-Adresse dieser Domain zu ermitteln, eine Nummer wie 64.233.191.255. In der Regel werden diese Anforderungen von DNS-Resolver-Servern beantwortet, die von DNS-Anbietern und Internetdienstanbietern gesteuert werden. Wenn diese Resolver jedoch nicht über die richtige IP-Adresse verfügen, bitten sie einen “autorisierenden” Server, der bestimmten Domänen zugeordnet ist, um eine Antwort.

Der NXNSAttack missbraucht die vertrauenswürdige Kommunikation zwischen diesen verschiedenen Schichten der DNS-Hierarchie. Es erfordert nicht nur den Zugriff auf eine Sammlung von PCs oder anderen Geräten – von einem einzelnen Computer bis zu einem Botnetz -, sondern auch die Erstellung von DNS-Servern für eine Domäne. Nennen Sie es “attacker.com”. (Die Forscher argumentieren, dass jeder diese Einrichtung für nur ein paar Dollar zusammenstellen kann.) Dann würde der Angreifer eine Flut von Anfragen von seinen Geräten für die Domain senden, die er kontrolliert, oder genauer gesagt eine Reihe gefälschter Subdomains wie 123.attacker. com, 456.attacker.com und so weiter, indem Zufallszahlen verwendet werden, um die Subdomain-Anforderungen ständig zu variieren.

Diese versuchten Webbesuche würden den Resolver-Server eines DNS-Anbieters dazu veranlassen, sich bei einem autorisierenden Server zu erkundigen. In diesem Fall handelt es sich um den DNS-Server, der vom Angreifer kontrolliert wird. Anstatt lediglich eine IP-Adresse anzugeben, teilt dieser autorisierende Server dem Resolver mit, dass er das Ziel der angeforderten Subdomänen nicht kennt, und weist den Resolver an, stattdessen einen anderen autorisierenden DNS-Server nach der IP-Adresse zu fragen und die Anforderung an ein Ziel weiterzuleiten Domäne der Wahl des Angreifers.

Die Forscher fanden heraus, dass sie jede Anfrage für eine dieser nicht vorhandenen Subdomänen in ihrer eigenen attacker.com-Domain an Hunderte von nicht existierenden Subdomains weiterleiten konnten, die alle zu einer Zieldomäne gehören, z. B. opfer.com. Diese Hunderte von Anfragen könnten es einem Hacker ermöglichen, nicht nur die Resolver-DNS-Server zu überfordern, indem er sie dazu verleitet, mehr Anfragen zu senden, als die Server verarbeiten können – und möglicherweise einen Teil des Dienstes des DNS-Anbieters herunterzufahren, wie dies beim Mirai-Botnetz-Angriff auf Dyn der Fall war -, sondern auch Außerdem werden die autorisierenden DNS-Server des Opfers überflutet, die diese Anforderungen empfangen, wodurch möglicherweise die Ziel-Website von Opfer.com heruntergefahren wird.

Ein gut verteidigtes Ziel würde wahrscheinlich erkennen, dass sich ein einzelner böswilliger DNS-Server hinter dem Angriff befindet, und nicht mehr auf Anforderungen reagieren, die von der Domäne des Angreifers weitergeleitet werden. Shafir von der Universität Tel Aviv weist jedoch darauf hin, dass Angreifer mehrere Domänen verwenden können, um den Angriff zu variieren und die Schmerzen zu verlängern. “Sie können Dutzende davon haben und sie alle paar Minuten wechseln”, sagt Shafir. “Es ist sehr leicht.”

In einer anderen Variante des Angriffs stellten die Forscher fest, dass ein Hacker NXNSAttack sogar auf nicht vorhandene Top-Level-Domains lenken konnte – gefälschte Suffixe von Webadressen wie “.fake” -, um die sogenannten Root-Server anzugreifen, die verfolgen, wo autorisierende Server können für Top-Level-Domains wie .com und .gov gefunden werden. Während diese Stammserver im Allgemeinen für eine sehr große Bandbreite ausgelegt sind, könnten die Forscher von diesen Zielservern mehr gefälschte Domänen anfordern als für gefälschte Subdomänen in den anderen Versionen ihres Angriffs, wodurch jede Anforderung möglicherweise mit mehr als dem Tausendfachen und multipliziert wird Bedrohung großer Teile des gesamten Netzes.

“Wenn Sie versuchen, einen Root-Server anzugreifen, wird der Angriff viel zerstörerischer”, sagt Shafir. “Wir können nicht beweisen, dass sie heruntergefahren werden können, weil sie sehr starke Server sind, aber die Verstärkung ist sehr hoch und dies sind die wichtigsten Vermögenswerte. Teile des Internets würden im schlimmsten Fall überhaupt nicht funktionieren.”

Als WIRED sich an eine Sammlung der wichtigsten DNS-Anbieter des Internets wandte, reagierten Google, Microsoft und Amazon nicht sofort. Die Muttergesellschaft von Dyn, Oracle, sagte, sie habe sich mit der Forschung befasst. “Der NXNSAttack hat einen großen Verstärkungsfaktor für einige DNS-Implementierungen, aber für Cloudflare war die Verstärkung gering und wurde durch die jüngsten Änderungen an unserer DNS-Software reduziert”, schrieb John Graham-Cumming, Chief Technology Officer von Cloudflare. “Da die DNS-Verstärkung ein häufiges Problem ist, mit dem sich die Branche befasst, hat Cloudflare bereits Abhilfemaßnahmen getroffen, um zu verhindern, dass unser Dienst für große Verstärkungsangriffe verwendet wird.”

John Todd, der Geschäftsführer des gemeinnützigen DNS-Anbieters Quad9, schrieb in einer E-Mail, dass “diese Bedrohung ziemlich real ist / war”, merkte aber auch an, dass die Bereitstellung “etwas komplex ist und einige Fingerabdrücke hinterlässt”, da der Angreifer dies tun müsste Führen Sie ihre eigenen DNS-Domänen aus. Er bemerkte auch, dass die meisten DNS-Server von Unternehmen nur auf IP-Adressen innerhalb des Unternehmens reagieren, dem sie gehören, obwohl Internetdienstanbieter eher anfällig dafür sind, dass ihre DNS-Server durch die NXNSAttack-Technik entführt werden.

Angesichts der bereits weit verbreiteten Patches stellt NXNSAttack wahrscheinlich weniger eine kritische Bedrohung dar als eine Erinnerung daran, wie die Infrastruktur des Internets ständig gewartet und geschützt werden muss.

“Aus meiner Sicht bin ich nur begeistert, dass die Art der Zusammenarbeit, die ich 2008 erhalten habe, auch 2020 noch stattfindet”, sagt Kaminsky von White Ops. “Das Internet ist nichts, was überleben würde, wenn es nicht jedes Mal, wenn jemand etwas in Brand steckt, aktiv wieder zusammengefügt würde.”

 

Quelle: (https://www.wired.com/)

Das könnte dir auch gefallen

More Similar Posts

Leave a Reply

Your email address will not be published. Required fields are marked *

Bitte füllen Sie dieses Feld aus.
Bitte füllen Sie dieses Feld aus.
Please enter a valid email address.