Angriff auf DNS-Root-Server

Gestern fand kurz nach 10 Uhr (UTC) ein Großangriff auf die DNS-Root-Server statt, der bis 11 Uhr die beiden Root-Server L (Internet Corporation for Assigned Names and Numbers, kurz ICANN) und G (US-Verteidigungsministeriums, DDN) fast komplett lahmlegte und sich anschließend noch für mehrere Stunden auf diesen Servern deutlich bemerkbar machte. Auch viele andere DNS-Root-Server sowie einige TLD-spezifische Server (TopLevelDomain, Länderkennung) wurden angegriffen. Die Angriffe waren für die meisten Internet-Nutzer kaum bemerkbar, deutsche Seiten (mit .de) waren überhaupt nicht beeinträchtigt worden. Hingegen gab es Probleme mit Webseiten, deren TLD-Endung auf .org, .info, .uk, .va und einige andere lautete.

Die Art des Angriffs war ein verteilter DoS gegen die 13 Root-DNS-Server, also eine Distributed-Denial-of-Service-Attacke (Service nicht verfügbar, kurz: DDoS). Eine DoS-Attacke dient dem Ziel, mittels einer enormen Menge von Anfragen an den jeweiligen Dienst, diesen zu überlasten, dass er nur noch stark verzögert oder irgendwann gar nicht mehr antwortet. Hierbei wird durch die Last auf dem mit Anfragen überhäuften Server nicht nur dessen Netzwerkanbindung beeinträchtigt, sondern auch die CPU- und Speicher-Ressourcen werden mitunter so überfordert, dass die Server unter Umständen sogar komplett aussteigen können und selbst nach dem Ende der DoS-Anfragen nicht mehr in einen normalen Betriebszustand ohne Neustart zurückkommen. DNS wird oft als Abkürzung für Domain-Name-Server verwendet, aber auch für den Dienst selbst, der durch einen DNS-Server zur Verfügung gestellt wird: der Domain-Name-Service. Den Domain Name-Service benötigt man im Internet zur Namensauflösung, als zur Zuordnung eines Domainnamens zu einer IP-Adresse bzw. umgekehrt und auch in Firmennetzwerken werden oftmals DNS-Server für das lokale Netzwerk (LAN) verwendet. DNS-Server sind ebenso wie Mail-Server, Webserver usw. nur ein Bestandteil des Internets, ohne den das www (heute fälschlicher Weise allgemein meist als Internet bezeichnet) nicht mit den im Browser eingegebenen Domainnamen umgehen könnte. Werden also die Server zur Namensauflösung hinreichend gestört, so sind die darunter liegenden Webseiten nach kurzer Zeit nicht mehr erreichbar. Gerade bei den Root-DNS-Servern handelt es sich um die wichtigsten Server im www, da diese z.Z. 13 Server in oberster Ebene liegen und alle darunter liegenden DNS-Server mit den jeweils notwendigen Informationen versorgen. Zwar werden alle Informationen von den darunter liegenden DNS-Servern, also in dem Fall den TLD-Servern, zwischengespeichert, aber diese Caches müssen, um auf Änderungen reagieren zu können, regelmäßig automatisch gelöscht und durch aktuelle Abfragen neu befüllt werden. Physikalisch handelt es sich natürlich um weit mehr als 13 Server, die geclustert nach außen wie je ein Server erscheinen.

Als ein Grund für die erfolgreichen Angriffe auf die L- und G-Server wird vermutet, dass die dahinterliegende Architektur nicht weit genug verzweigt ist (Anycast-Netze). Der letzte große Angriff auf die Root-Server am Abend des 21.10.2002 war weit erfolgreicher, als der gestrige. Damals waren nur noch 4-5 der insgesamt 13 Server mit vernünftigen Antwortzeiten verfügbar. Dennoch gab es damals kaum Beeinträchtigungen im www, vermutlich, da nicht noch zusätzlich untergeordnete DNS-Server von Domain-Registrierungsstellen lahmgelegt wurden. Im Jahr 2002 wurde nach den DDoS-Angriffen auf die DNS-Root-Server natürlich entsprechend reagiert. Zwar erwieß sich das gesamte System als ausreichend stabil, eine längere Angriffsdauer hätte allerdings zu echten weltweiten Problemen führen können. Deshalb wurden seit dem die Infrastrukturen zur Erhöhung der Ausfallsicherheit und zum Schutz gegen bestimmte Angriffe enorm erweitert und zumindest der J-Server wurde auch an einen anderen Standort verlagert - zuvor war dieser gemeinsam mit dem A-Server im selben IP-Subnetz in den USA angesiedelt, Spekulationen zur Folge evtl. sogar am selben Standort.

Ein nettes Detail am gestrigen Angriff war der am selben Tag liegende und von der EU betreute 4. “Safer Internet Day”, bei dem es um die Sicherheit von Kindern und Jugendlichen im Internet geht.

Weitere Informationen zu DNS: Linux-DNS-Server, ein Projekt mit SuSE Linux 7.1 und vielen Hintergrundinfos

Eine Reaktion zu “Angriff auf DNS-Root-Server”

  1. admin

    Ein nettes Detail am Rande ist, dass man eigentlich unter dnsmon.ripe.net die Auslastung der Root-Server nachvollziehen kann - in Echtzeit und von früheren Zeitpunkten. Vor ca. 1h kam man dort auch noch problemlos rauf und konnte sich z.B. auch die Auswirkung in der Serverlast bei DoS-Angriffen vom 06.02.2007 ansehen. Nachdem etwa die letzten 45min von dort keinerlei Rückmeldung kam, bekommt man die Seite inzwischen mit reichlich Verzögerung (meistens) wieder angezeigt. Ob das nun eine Auswirkung des DNS ist oder evtl. die größere Nachfrage nach den gestrigen Monitorbildern oder andere Probleme die Ursache sind, läßt sich schwer sagen - aber man würde bei der Ripe eben derartiges im Normalfall nicht erwarten.
    Auch bei der Domainregistrierung von deutschen Domains kam es zu Verzögerungen. Im Normalfall sind derartige Registrierungen binnen weniger Minuten durch, gestern und heute konnte dies aber auch schon mal 12h dauern.

Einen Kommentar schreiben