Open Resolver

Worum geht es beim Open Resolver Angriff? #

Zweck dieses Dokuments

Offene DNS Server im Internet stellen ein hohes Risiko dar. Durch sogenannte DNS Amplification Attacks werden die offenen DNS-Server für einen Angriff auf ein beliebiges Ziel missbraucht. Dies verursacht beim Betroffenen Schaden. Zudem wird die Netz-Infrastruktur unnötig belastet.

Daher ist es nötig, dass die offenen DNS-Server entweder geschlossen werden oder der IP-Range, welcher auf Anfragen reagiert, eingeschränkt wird.

Wie funktioniert eine DNS Amplification Attacke?

In der Kombination mit IP-Spoofing und offener Rekursion führen Angreifer eine DNS-Amplification DDoS Attacke wie folgt durch.

1. Der Angreifer sammelt eine „Zombie-Armee“. Diese besteht in der Regel aus kompromittierten PC’s im Internet.

2. In die Zone-Datei eines eigenen (oder gehackten) Nameservers schreibt er einen Overhead, welcher möglichst grosse Antwort-Pakete generiert.

3. Der Angreifer befiehlt seinen „Zombies“ eine kontinuierliche DNS-Anfrage der manipulierten Zone-Datei durchzuführen. Die Anfrage senden die Zombies zuerst an einen offenen DNS-Server. Als Absender IP-Adresse verwenden die Zombies die IP des anzugreifenden Ziels.

4. Hat der offene DNS-Server noch keine Anfrage an das kompromittierte Zonen-File gestellt, wird diese nun ausgeführt. Das Resultat (den Overhead) nimmt der offene DNS-Server in seinen Cache.

5. Der offene DNS-Server meint nun, dass er die Antwort einem Zombie zurückgibt. Da die IP jedoch gefälscht war (IP-Spoofing), wird die Antwort an das Opfer gesendet.

6. Nun wird das Opfer mit sinnlos grossen Antwort-Paketen zugespammt. Die grossen DNS-Antworten kommen in mehreren IP-Paketen beim Opfer an und müssen dort wieder zusammengesetzt werden. Dadurch wird

a) Die Rechenlast erhöht

b) Verhindert, dass das Opfer die DNS-Attacke schnell erkennt und Gegenmassnahmen einleiten kann

Die Ergebnisse sind verheerend. Abhängig von den Gegenmassnahmen und der Robustheit des Ziel-DNS-Servers, wird die Funktionalität des DNS-Servers entweder stark eingeschränkt oder im schlimmsten Fall gestoppt. Dienste, für welche der DNS-Server die Namens-Auflösung bereitstellte, sind nicht mehr erreichbar. Abgesehen von den Reparatur-Arbeiten entsteht so dem Opfer auch wirtschaftlicher Schaden.

Picture Zombie Botnet

Gegenmassnahmen

Leider wird es nicht möglich sein, solche Attacken generell zu verhindern. Jedoch können einem Angreifer seine „Hilfsmittel“ entzogen werden. Hier kann an zwei Punkten angesetzt werden.

1. Bei den Open Resolvern (Router) mehr dazu finden Sie untenstehend unter “Wie kann ich bei meinem Router den DNS Open Resolver schliessen?”

2. Was sind PC-Zombies und wie schützt man seinen PC

Was sind PC-Zombies und wie schützt man seinen PC

Ein Zombie-Botnet besteht in der Regel aus einem Verbund infizierter Computer. Jeder Computer, welcher am Internet angeschlossen ist, kann durch Malware oder Viren infiziert werden. Ist der Computer mal infiziert, wird er zum Zombie und führt die Befehle seines „Meisters“ aus. In dem hier beschriebenen Fall im Zusammenhang mit einer DNS Amplification Attacke.

In dem man seinen Computer regelmässig, mit einem aktuellen Antiviren-Programm, auf Viren und Malware scannt, kann man dem einfach entgegenwirken. Zudem verhindert man den Befall mit Viren, indem man im Email keine unbekannten Anhänge öffnet und auf vertrauenswürdigen Seiten surft.

Wie kann ich bei meinem Router den DNS Open Resolver schliessen? #

Zyxel Geräte

Sollte das DSL-Modem als Open-Resolver fungieren, konsultieren Sie bitte die Anleitung Ihres Gerätes. Folgend ein Bespiel bei einem Zyxel Router (NBG 419N).

Open Resolver bei Zyxel NBG 419N schliessen (Bei anderen Zyxel Geräten ähnlich)

Die Werkseinstellungen des Zyxel NBG 419N beinhalten einen gegen das Internet offenen DNS Server. Den offenen DNS Server können Sie in der Web-Konsole in Ihrem Browser (Internet Explorer, Firefox, Safari) schliessen. Gehen Sie dazu wie folgt vor:

1. Öffnen Sie einen Browser und tippen Sie 192.168.1.1 in die Adresszeile ein.

2. Loggen Sie sich mit dem Benutzernamen und Passwort vom Datenblatt – Sektion “Wireless-Router Informaitonen” ein. Vergessen Sie nicht unten auf Deutsch zu stellen, ausser Sie kommen mit English besser zurecht.

3. Gehen Sie anschliessend in den “Experten Modus” oben Rechts.

4. Nun gehen Sie links auf das Bild mit den Zwei Zahnrädern.

5. Als nächstes klicken Sie auf das kleine Plus “+” neben “Management”.

6. Unterhalb von “Management” sollten Sie nun “Remote-Management” sehen. Klicken Sie da drauf.

7. Sie sollten nun das Selbe sehen, wie im Bild unten

8. Ändern Sie hier nun den im Bild rot markierten Knopf von “WAN” auf “LAN”. Dann drücken Sie unten Auf “Übernehmen” und schon ist Ihr Gerät wieder sicher.



Das oben Erwähnte Bild
Das oben erwähnte Bild