Forscher von der Universität Tel Aviv haben jetzt einen neuartigen Angriff auf DNS-Server vorgestellt, dem sie den Namen NXNSAttack gaben. Dabei nutzen sie die rekursiven Eigenschaften des DNS, um einen extrem effizienten Denial-of-Service-Angriff durchzuführen.
Zunächst hatten die Forscher beobachtet, dass manche DNS-Anfragen deutlich mehr Traffic erzeugten als normal. Grund für den erhöhten Datenverkehr sind die Auflösungen der Nameserver selbst.
Auch Nameserver-Hostnamen müssen aufgelöst werden
Schon in der Vergangenheit waren Nameserver nicht nur häufig Opfer von DoS-Angriffen sondern oftmals auch Werkzeuge. Sogenannte Amplification-Angriffe können die Nameserver nutzen, um damit andere Systeme anzugreifen. Der neue NXNS-Angriff ist eine weitere Variante eines Amplification-Angriffs.
DNS-Resolver werden direkt von mit dem Internet verbundenen Geräten genutzt. Dabei arbeiten sie die Anfragen rekursiv ab, ausgehend von den Root-Nameservern des Internets. Von jedem Nameserver aus kann die Anfrage auch an andere Nameserver weitergeleitet werden.
Löst ein Nameserver beispielsweise die Domain beispiel.org auf, wird er zunächst an die Nameserver primary Domain .org verwiesen und erfährt von denen wiederum mehrere Nameserver mit der IP-Adresse von beispiel.org. Allerdings sind die Nameserver selbst auch wieder Hostnamen, die natürlich ebenfalls aufgelöst werden müssen. Normalerweise lösen Resolver alle verfügbaren Nameserver auf, und meist sind für eine secondary Domain drei bis vier Nameserver verfügbar.
So funktioniert der Angriff
An dieser Stelle setzt der NXNS-Angriff an. Der Angreifer kann einen speziellen Nameserver aufsetzen, der für die die Subdomains einer secondary Domain eine richtig große Zahl von weiteren Nameserver-Adressen ausgibt.
All diese Nameserver-Hostnamen müssen dann auch vom Resolver wieder aufgelöst werden, wobei es sich nicht um gültige Namen handeln muss.
So kann der Angreifer mit relativ wenig Aufwand einen enormen Datenverkehr auf einem Nameserver erzeugen. Es sind Szenarien denkbar, bei denen solch ein Angriff eine mehr als tausendfache Verstärkung an Datenpaketen erreichen kann.
Updates für gängige Nameserver-Software
Natürlich wurden die Betreiber von wichtigen DNS-Resolvern wie beispielsweise Google und Cloudflare von den Entdeckern der Lücke vorab informiert und haben in ihren Servern inzwischen Gegenmaßnahmen implementiert. Auch die Entwickler der gängigsten DNS-Server wie Bind (CVE-2020-8616), Unbound (CVE-2020-12662), Knot (CVE-2020-12667) und PowerDNS (CVE-2020-10995) sind auch vorab informiert worden und haben Sicherheitsupdates gegen NXNS bereitgestellt.
Betreiber eigener DNS-Server sollten diese Updates sicherheitshalber jetzt auch möglichst schnell installieren.
