Analyse von DDoS-Angriffen mittels DNS am Beispiel von Dyn und die Gegenmaßnahmen

Master Studiengang Information Security

Dipl.-Ing. Lukas Wabro, BSc

Betreuer: Dipl.-Ing. Dipl.-Ing. Christoph Lang-Muhr, BSc

Ausgangslage

Am 21. Oktober 2016 um 11:10 UTC bemerkte das Unternehmen Dyn einen massiven DDoS (Distributed Denial of Service)-Angriff auf ihre Infrastruktur. Dieser Angriff hatte zur Folge, dass einige Dienste für Kundinnen und Kunden des Unternehmens nicht oder nur sehr sporadisch erreichbar waren. Der DDoS-Angriff wurde hauptsächlich von dem Botnet „Mirai“ initiiert, dabei wurde eine Bandbreitenauslastung von bis zu 1,2 Terabit pro Sekunde erreicht. Durch die Analyse der verwendeten Angriffsmethoden des Botnets kann der Ablauf und die Funktionsweise eines solchen DDoS-Angriffes verständlich gemacht werden. Diese analytische Herangehensweise soll mit dem Wissen über die Funktionsweise von DNS (Domain Name System) und im Speziellen über dessen Erweiterung DNSSEC (Domain Name System Security Extensions) kombiniert werden und zu Erkenntnissen beitragen, wie das Ausmaß eines derartigen Angriffs minimiert beziehungsweise gänzlich verhindert werden kann.

Einen möglichen Lösungsansatz bietet die Funktion „NSEC/NSEC3 Aggressive Negative Caching“, welche im DNSSEC-Protokoll aktiviert werden kann. In Kombination mit verschiedenen anderen Abwehrmaßnahmen liegt das Hauptaugenmerk dieser Diplomarbeit genau auf diesem Lösungsansatz. In diesem Zusammenhang wird auch die Kontroverse aufgegriffen, ob DNSSEC ausschließlich die Auswirkungen von DDoS-Angriffen verstärkt, beziehungsweise zur Verstärkung missbraucht wird, oder doch auch als Abwehrmaßnahme gegen DDoS-Angriffe eingesetzt werden kann.

Ziel

Ziel dieser Arbeit ist es, durch die Erläuterungen und Analysen am Fallbespiel Dyn die Schlussfolgerung zu ermöglichen, ob die Robustheit von DNSSEC gegenüber DDoS-Angriffen ein Argument für den kommerziellen Einsatz von DNSSEC darstellt, oder ob die Gegenmaßnahmen, von denen manche auf DNSSEC aufbauen, und im Speziellen „NSEC/NSEC3 Aggressive Negative Caching“, eventuell nicht ausreichen, um DDoS-Angriffe im geforderten Maß abzuwehren.

Ergebnis

Im Zuge dieser Arbeit wurde eine Analyse der bestehenden Gegenmaßnahmen gegen DNS-bezogene DDoS-Angriffe, im Speziellen „DNS Water Torture Attacks“ und „DNS Amplification Attacks“, durchgeführt. Aufbauend auf dieser Analyse wurde ein Bewertungsschema für die Gegenmaßnahmen anhand relevanter Kriterien erstellt. Dieses Bewertungsschema wurde für Schlussfolgerungen herangezogen.