DNS-Amplifikationsangriff
Was ist DNS-Amplifikationsangriff?
DNS-AmplifikationsangriffReflection-DDoS, der offene DNS-Resolver missbraucht: kleine Anfragen mit gespooftem Quell-IP der Opfer-Adresse lösen große DNS-Antworten an das Opfer aus.
Bei einer DNS-Amplifikation sendet der Angreifer UDP-DNS-Anfragen (häufig ANY-, TXT- oder DNSSEC-Records, die große Antworten erzeugen) an viele offene oder fehlkonfigurierte rekursive Resolver — mit gefälschter Absender-IP des Opfers. Die Resolver schicken die deutlich größeren DNS-Antworten an das Opfer und vervielfachen die Angreiferbandbreite häufig um mehr als das 50-Fache. Der aggregierte Traffic kann die Leitung des Opfers oder seines Upstream-Providers sättigen. Gegenmaßnahmen sind das Schließen offener Resolver, Response Rate Limiting (RRL), Source-Address-Validation an Netzgrenzen (BCP 38), Anycast-DNS, DDoS-Scrubbing sowie die Begrenzung übermäßig großer EDNS/DNSSEC-Antworten, wo möglich.
● Beispiele
- 01
Ein Angreifer sendet ANY-Anfragen an Tausende offene Resolver; jede winzige Anfrage löst mehrere Kilobyte Antwort an das Opfer aus.
- 02
Mirai-abgeleitete Botnets missbrauchen Heimrouter als offene Recursoren, um DNS-Amp-Floods im mehreren hundert Gigabit pro Sekunde zu starten.
● Häufige Fragen
Was ist DNS-Amplifikationsangriff?
Reflection-DDoS, der offene DNS-Resolver missbraucht: kleine Anfragen mit gespooftem Quell-IP der Opfer-Adresse lösen große DNS-Antworten an das Opfer aus. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet DNS-Amplifikationsangriff?
Reflection-DDoS, der offene DNS-Resolver missbraucht: kleine Anfragen mit gespooftem Quell-IP der Opfer-Adresse lösen große DNS-Antworten an das Opfer aus.
Wie schützt man sich gegen DNS-Amplifikationsangriff?
Schutzmaßnahmen gegen DNS-Amplifikationsangriff kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.