Bundesamt für Sicherheit in der Informationstechnik

G 5.153 DNS-Amplification Angriff

Ein DNS -Amplification Angriff ist ein Denial-of-Service-Angriff (DoS-Angriff). Bei einem DoS-Angriff wird versucht, einen oder mehrere Dienste durch Überlastung in einen arbeitsunfähigen Zustand zu versetzen. Im Gegensatz zu DNS-Flooding (G 5.151 DNS-Flooding - Denial-of-Service ) ist hier nicht der DNS-Server, an den die Anfragen gestellt werden, das Ziel, sondern der Empfänger der Antworten.

Es wird ausgenutzt, dass bestimmte Anfragen eine verhältnismäßig große Antwortdatenmenge erzeugen. Es ist dabei möglich, einen Verstärkungsfaktor von 50 und mehr zu erreichen. Das bedeutet, dass die Antwort, gemessen in Bytes, 50-mal größer ist als die Anfrage. Durch die Anzahl und Größe der Antworten wird die Netzbandbreite bzw. der Rechner selbst über die Leistungskapazität hinaus überlastet. Somit kann jede beliebige technische IT-Komponente das Angriffsziel sein.

Beispiel:

  • Eine Firma (das Angriffsziel) betreibt ein zentrales Sicherheitsgateway. Dieses Sicherheitsgateway stellt den einzigen Verbindungspunkt zwischen internem Netz und dem Internet dar. Der Angreifer missbraucht nun die DNS-Server einiger Firmen, um einen DNS-Amplification Angriff gegen das Sicherheitsgateway des Angriffsziels durchzuführen. Dazu verwendet der Angreifer ein Bot-Netz, um kontinuierlich eine große Menge an Anfragen zu erzeugen. Zusätzlich verwendet er IP-Spoofing (G 5.48 IP-Spoofing ) um die IP-Adresse des Sicherheitsgateways als Absenderadresse einzutragen, dadurch werden alle Antworten an dieses gesendet. Durch die große Menge an Daten wird das Sicherheitsgateway überlastet, somit ist die angegriffene Firma vom Internet abgeschnitten. Ein möglicher Nebeneffekt ist, dass die befragten DNS-Server überlastet werden.

Stand: 12. EL Stand 2011