Dampening oder RRL - Was hilft?
Die Universität von Amsterdam hatte eine Studienarbeit zu Vergleichstest zwischen Ansätzen zur Eindämmung von DNS Amplification Angriffen ausgeschrieben. Das Ergebnis liegt jetzt vor.
Getestet wurde vor allem das Response Rate Limiting, eine Technik, die sehr spezifisch Angriffsmuster abwehrt ohne dabei legitime Anfragen komplett zu unterdrücken. Entwickelt wurde RRL, um die Nameserver der großen TLDs zu sichern. Erwartungsgemäß gelingt es in diesem Fall eine Verringerung des Verstärkungsfaktors von typischen 1:30 auf 1:0.2 zu reduzieren. Schon leichte Modifikationen im Angriff (Variiern von Namen oder Recordtypen) beschränken die Wirkung von RRL auf dann immer noch wirksame Verstärkungen von 1:8 bis 1:10. Bedienen die Nameserver mehr Zonen authoritiv sinkt der Effekt extrem schell. Für Massenhoster wird RRL als wirkungslos eingestuft:
5.2.8. Varying query attack on hosting company con gurationThe behavior of the hosting company configuration can be compared with an attack done on a TLD like zone. In both cases RRL is unable to detect the attack when all domain names used in the attack are resolvable.
Erfreulicherweise hat man meinen Ansatz (hier der richtige Patch) ebenfalls einer Betrachtung würdig gefunden. Obwohl nur kurz angetestet, freut mich der eingetretene Erfolg:
7.1. MeasurementsDNS dampening is activated ... and the traffic is almost instantly dropped. Other scenarios where briefly tested as well and every attack was successfully countered by DNS dampening.
Selbstverständlich ist DNS Dampening keine Universallösung. Es ist sehr leicht möglich, legitime Kommunikation per Spoofing so zu unterbinden, daß die gehosteten Zonen von bestimmten Providern aus gar nicht mehr aufgelöst werden können. Die Autoren der Arbeit empfehlen also doch noch einen gewissen Anteil an Anfragen zu beantworten:
9. Future workDNS dampening is a promising defense mechanism against DNS reflection attacks which could help in this situation. However, in the current state it is missing a feature to prevent false-positives. A similar feature like SLIP will need to be developed for DNS dampening to make it a practical solution.
Dann nehme ich das mal als Ansporn.