Wir freuen uns, Advanced DNS Protection vorstellen zu können – ein widerstandsfähiges Abwehrsystem zum Schutz vor den raffiniertesten DNS-basierten DDoS-Angriffen. Das System soll größtmögliche Sicherheit gewährleisten und sicherstellen, dass Ihre digitale Infrastruktur neuen Bedrohungen jetzt und in Zukunft standhält.
Unsere bisherigen Systeme sind in der Lage, „einfachere“ DDoS-Attacken auf das DNS zu erkennen und abzuwehren, haben mit komplexeren Angriffen aber Probleme. Advanced DNS Protection schließt diese Lücke durch den Einsatz neuer Verfahren, auf die wir in diesem Blog-Beitrag näher eingehen werden.
Advanced DNS Protection ist derzeit als Betaversion für alle Magic Transit-Kunden ohne zusätzliche Gebühren verfügbar. Im Folgenden erfahren Sie mehr über DNS-DDoS-Angriffe und darüber, wie das neue System funktioniert und welche Funktionen wir dafür noch planen.
Wenn Sie mehr dazu wissen möchten, wie wir kontinuierlich den Schutz, die Verfügbarkeit und Performance Ihrer DNS-Server sicherstellen, registrieren Sie sich hier für die Betaversion.
Ein Drittel aller DDoS-Angriffe richtet sich gegen DNS-Server
Distributed Denial of Service (DDoS)-Angriffe zielen darauf ab, Websites und andere Online-Dienste zu stören und lahmzulegen. Wenn diese Cyberattacken erfolgreich sind und sich eine Website nicht mehr erreichen lässt, kann das beträchtliche Umsatzeinbußen nach sich ziehen und dem Ruf eines Unternehmens schweren Schaden zufügen.
Verteilung der DDoS-Angriffsarten im Jahr 2023
Eine gängige Methode zur Störung und zum Lahmlegen einer Website besteht darin, ihre Server so stark mit Datenverkehr zu schwemmen, dass sie diesem nicht mehr gewachsen ist. Das wird als HTTP-Flood-Angriff bezeichnet. Dabei wird eine große Menge an HTTP-Anfragen direkt an die Website gerichtet. Wie aus unserem jüngsten Bericht zu DDoS-Trends hervorgeht, haben unsere Systeme 2023 5,2 Millionen HTTP-DDoS-Attacken automatisch abgewehrt, was 37 Prozent aller DDoS-Angriffe entspricht.
Darstellung eines HTTP-Flood-Angriffs
Es besteht aber auch die Möglichkeit, eine Website durch einen indirekten Angriff lahmzulegen. Dabei bombardiert man nicht die Server der Website selbst mit Traffic, sondern die DNS-Server. Wenn diese der Abfrageflut nicht mehr gewachsen sind, schlägt die Auflösung von Hostnamen in IP-Adressen fehl. Das sorgt indirekt für einen Ausfall der Website, weil der DNS-Server legitime Anfragen nicht mehr beantworten kann.
Ein aufsehenerregendes Beispiel ist der verheerende Angriff auf den DNS-Provider Dyn im Oktober 2016, der von dem berüchtigten Mirai-Botnetz ausgeführt wurde. Er führte zu Störungen bei Marktgrößen wie Airbnb, Netflix und Amazon. Dyn benötigte einen ganzen Tag zur Wiederherstellung des Diensts. Das ist eine lange Zeit für solche Vorfälle, die ausgesprochen ruf- und umsatzschädigend sein können.
Mehr als sieben Jahre später sind Mirai- und DNS-Angriffe immer noch unglaublich weit verbreitet. 2023 waren DNS-Attacken die zweithäufigste Angriffsart. Sie erreichten einen Anteil von 33 % an allen DDoS-Angriffen (4,6 Millionen). Von Botnetzen der Mirai-Variante ausgeführte Angriffe waren die fünfthäufigste Art von DDoS-Attacken auf Netzwerkschicht und machten 3 % daran aus.
Darstellung eines Flood-Angriffs mittels DNS-Abfragen
Was sind raffinierte DNS-basierte DDoS-Angriffe?
DNS-basierte DDoS-Angriffe lassen sich leichter abwehren, wenn die einzelnen Abfragen demselben Muster folgen. Man spricht in diesem Fall vom „Fingerabdruck“ (Fingerprint) eines Angriffs. Auf Fingerabdrücken basierende Abwehrsysteme können diese Muster erkennen und dann eine Abwehrregel implementieren, anhand derer der Angriffstraffic hochpräzise herausgefiltert wird, ohne den legitimen Datenverkehr zu beeinträchtigen.
Nehmen wir zum Beispiel an, ein Angreifer sendet eine Flut von DNS-Abfragen an sein Ziel. In diesem Beispiel hat der Angreifer nur die Quell-IP-Adresse randomisiert. Alle anderen Abfragefelder blieben gleich. Das Abwehrsystem hat das Muster erkannt (Quell-Port ist 1024 und die abgefragte Domain lautet „example.com“) und generiert eine vorübergehend geltende Abwehrregel zum Herausfiltern dieser Abfragen.
Vereinfachte Darstellung des Fingerprintings von Angriffen
Bei manchen DNS-basierten DDoS-Angriffen wird jedoch sehr viel raffinierter vorgegangen und eine höhere Randomisierung eingesetzt, sodass sich kein offensichtliches Angriffsmuster ausmachen lässt. Fehlt ein solches durchgängiges Muster zur Orientierung, ist es praktisch unmöglich, den Angriff mit einem auf Fingerprinting beruhenden Abwehrsystem abzufangen. Selbst wenn bei einem stark randomisierten Angriff ein Muster erkannt wird, wäre es wahrscheinlich so allgemein gehalten, dass deshalb ungewollt legitimer Nutzertraffic abgewehrt und/oder nicht der gesamten Angriff abgefangen würde.
Bei diesem Beispiel hat der Angreifer die abgefragte Domain in seinem DNS-Flood-Angriff ebenfalls randomisiert. Gleichzeitig fragt ein legitimer Client (oder Server) auch „example.com“ ab. Ihm wurde eine zufällige Portnummer zugewiesen, und zwar 1024. Das Abwehrsystem hat ein Muster erkannt (der Quell-Port ist 1024 und die abgefragte Domain lautet „example.com“). Mit dessen Hilfe wurde jedoch nur der Teil des Angriffs abgefangen, der mit dem Fingerabdruck übereinstimmte. Übersehen wurde hingegen der Teil, in dessen Rahmen andere Hostnamen abgefragt wurden. Und schließlich hat das Abwehrsystem unbeabsichtigt legitimen Datenverkehr blockiert, der Ähnlichkeit mit Angriffstraffic hatte.
Vereinfachte Darstellung eines randomisierten DNS-Flood-Angriffs
Dies ist nur ein sehr einfaches Beispiel dafür, wie Fingerprinting beim Stoppen von randomisierten DDoS-Angriffen versagen kann. Die Herausforderung erhöht sich noch, wenn Angreifer den von ihnen gesteuerten Datenverkehr über einen seriösen öffentlichen DNS-Resolverdienst „bereinigen“ (ein DNS-Resolverdienst, auch bekannt als rekursiver DNS-Server, ist eine Art von DNS-Server, der für das Aufspüren der IP-Adresse einer Website bei verschiedenen anderen DNS-Servern verantwortlich ist). Man spricht bei dieser Art von Angriff von DNS Laundering.
Darstellung des Ablaufs einer DNS-Auflösung
Bei einem DNS Laundering-Angriff werden Subdomains einer echten Domain abgefragt, die vom autoritativen DNS-Server des Opfers verwaltet wird. Das die Subdomain definierende Präfix wird nach dem Zufallsprinzip ausgewählt und bei einem solchen Angriff immer nur einmal verwendet. Rekursive DNS-Server halten aufgrund der Randomisierung nie eine Antwort im Cache vor und müssen die Abfrage an den autoritativen DNS-Server des Opfers weiterleiten. Dieser wird dann mit so vielen Anfragen bombardiert, dass er legitime Abfragen irgendwann nicht mehr bearbeiten kann oder sogar ganz zusammenbricht.
Darstellung eines DNS Laundering-Angriffs
Die Komplexität ausgeklügelter DNS-DDoS-Angriffe liegt in ihrer paradoxen Natur begründet: Sie sind zwar relativ leicht zu erkennen, lassen sich aber nur schwer wirksam eindämmen. Das liegt daran, dass autoritative DNS-Server Abfragen von rekursiven DNS-Servern nicht einfach blockieren können, weil diese ja auch legitime Abfragen durchführen. Außerdem kann der autoritative DNS-Server die an die Ziel-Domain gerichteten Abfragen nicht filtern, da es sich um eine echte Domain handelt, die erreichbar bleiben muss.
Abwehr anspruchsvoller DNS-basierter DDoS-Angriffe mit Advanced DNS Protection
Die Zunahme dieser Art von raffinierten DNS-basierten DDoS-Angriffen hat uns dazu veranlasst, eine neue Lösung zu entwickeln: eine, die unsere Kunden besser schützt und die Lücke herkömmlicher Fingerprinting-Ansätze schließt. Das Ergebnis ist Advanced DNS Protection. Ähnlich wie bei Advanced TCP Protection handelt es sich um ein von uns entwickeltes, softwaredefiniertes System, das auf unserer zustandsbehafteten Mitigationsplattform flowtrackd (Flow Tracking Daemon) beruht.
Advanced DNS Protection ergänzt unsere bestehende Reihe an DDoS-Abwehrsystemen. Es ist – genau wie unsere anderen DDoS-Abwehrsysteme – ein dezentrales System, von dem auf jedem Cloudflare-Server weltweit eine Instanz betrieben wird. Sobald das System initiiert wurde, kann jede Instanz Angriffe selbstständig erkennen und abwehren. Eine zentrale Regelung ist dafür nicht erforderlich. Die Erkennung und Abwehr erfolgt augenblicklich (null Sekunden). Jede Instanz kommuniziert auch mit anderen Instanzen auf anderen Servern in einem Rechenzentrum. Sie tauschen sich aus und geben die gewonnenen Erkenntnisse untereinander weiter, um eine umfassende Abwehr in jedem Rechenzentrum zu gewährleisten.
Screenshots des Cloudflare-Dashboards mit Informationen zu einem durch Advanced DNS Protection abgewehrten DNS-basierten DDoS-Angriff
Zusammen bieten unsere auf Fingerprinting basierenden Systeme (die verwalteten Regelsätze für DDoS-Schutz) und unsere zustandsbehafteten Abwehrsysteme eine robuste, mehrschichtige Strategie zur Verteidigung gegen die ausgeklügeltsten und randomisierten DNS-basierten DDoS-Angriffe. Außerdem können Cloudflare-Kunden das System an ihre Bedürfnisse anpassen. Näheres zu den Konfigurationsmöglichkeiten entnehmen Sie unserer Dokumentation.
Darstellung der DDoS-Schutz-Systeme von Cloudflare
Wir haben auch neue DNS-bezogene Datenpunkte hinzugefügt, um Kunden zu helfen, die Muster ihres DNS-Traffics und die damit in Verbindung stehenden Angriffe besser zu verstehen. Diese Datenpunkte finden sich unter der neuen Registerkarte „DNS Protection“ (DNS-Schutz) im Cloudflare-Dashboard Network Analytics. Die neue Registerkarte gibt Aufschluss darüber, welche DNS-Abfragen passieren dürfen und welche verworfen werden. Außerdem werden dort die Merkmale dieser Abfragen angezeigt, einschließlich des abgefragten Domainnamens und des Eintragstyps. Sie können diese Analysedaten auch über die Cloudflare-API GraphQL und durch den Export von Protokollen in Ihre eigenen Überwachungs-Dashboards per Logpush abrufen.
Unterscheidung gut- und bösartiger DNS-Anfragen
Um uns vor anspruchsvollen und hochgradig randomisierten DNS-basierten DDoS-Angriffen zu schützen, mussten wir besser einschätzen können, welche DNS-Anfragen an unsere Kunden wahrscheinlich legitim und welche Teil eines Angriffs sind. Das allein anhand des Abfragenamens zu erkennen, ist allerdings nicht leicht. Wir können uns dafür nicht nur auf Fingerprinting-basierte Erkennung verlassen, da auch zufällig erscheinende Abfragen wie abc123.example.com legitim sein können. Auch das Gegenteil ist der Fall: Eine Abfrage für mailserver.example.com kann legitim erscheinen, letzten Endes handelt es sich aber möglicherweise nicht um eine echte Subdomain eines Kunden.
Erschwerend kommt hinzu, dass unser auf Layer-3-Paketweiterleitung beruhender Abwehrdienst, Magic Transit, Direct Server Return (DSR) nutzt. Das bedeutet, dass wir die Antworten des DNS-Ursprungservers nicht sehen können, die uns Aufschluss darüber geben würden, welche Abfragen letztendlich legitim sind.
Darstellung der Funktionsweise von Magic Transit mit Direct Server Return (DSR)
Wir sind zu dem Schluss gelangt, dass die beste Methode zur Bekämpfung dieser Angriffe darin besteht, ein Datenmodell der erwarteten DNS-Abfragen jedes Kunden anhand der von uns erhobenen Langzeitaufzeichnungen zu erstellen. Das verschafft uns größere Gewissheit bei der Entscheidung darüber, welche Abfragen wahrscheinlich legitim sind und welche als nicht legitim eingestuft und verworfen werden sollten. Auf diese Weise sind wir in der Lage, die DNS-Server unserer Kunden abzuschirmen.
Dies bildet die Grundlage von Advanced DNS Protection. Die Lösung prüft jede DNS-Abfrage, die an unsere Magic Transit-Kunden gesendet wird, und entscheidet auf Grundlage des Datenmodells und der individuellen Einstellungen jedes Kunden, ob diese zugelassen wird.
Zu diesem Zweck übermittelt jeder Server in unserem globalen Netzwerk kontinuierlich bestimmte DNS-bezogene Daten wie den Abfragetyp (z. B. A-Eintrag) und die abgefragten Domains (nicht jedoch den Ursprung der Abfrage) an unser zentrales Rechenzentrum. Dort werden dann regelmäßig Profile des DNS-Abfragetraffics für jeden Kunden erstellt. Diese werden anschließend über unser globales Netzwerk verteilt. Dort können wir sie heranziehen, um besser und genauer zu beurteilen, welche Abfragen gut- und welche bösartig sind. Die „bösen“ Abfragen werden von uns verworfen und die „guten“ weitergeleitet. Dabei berücksichtigen wir die Toleranz des jeweiligen Kunden gegenüber unerwarteten DNS-Abfragen auf Basis seiner Konfigurationen.
Lösung der technischen Herausforderungen bei der Entwicklung von Advanced DNS Protection
Der Aufbau dieses Systems hat uns technisch vor mehrere konkrete Herausforderungen gestellt:
Datenverarbeitung
Wir verarbeiten täglich mehrere Millionen DNS-Abfragen für Magic Transit-Kunden über unser globales Netzwerk, wobei die anderen DNS-Produkte von Cloudflare noch nicht mit eingerechnet sind. Anhand der erwähnten DNS-bezogenen Daten werden kundenspezifische Profile des Abfragedatenverkehrs erstellt. Die Analyse dieser Art von Daten erfordert einen sorgfältigen Umgang mit unseren Datenpipelines. Bei der Erstellung dieser Trafficprofile verwenden wir „Sample on Write“- und Adaptive Bitrate-Technologien für das Schreiben bzw. Auslesen der erforderlichen Daten. Auf diese Weise stellen wir sicher, dass einerseits die Daten sehr detailliert sind und andererseits unsere Dateninfrastruktur geschützt wird. Informationen, die den Datenschutz unserer Endnutzer berühren, werden weggelassen.
Vereinfachte Darstellung der Abfragedaten
Bei einigen unserer Kunden werden täglich mehrere zehn Millionen DNS-Abfragen gestellt. Es wäre unerschwinglich, solche Mengen an Daten zu speichern und in einem unkomprimierten Format zu übertragen. Um dieses Problem zu lösen, haben wir uns entschieden, einen Zählenden Bloomfilter für das Datenverkehrsprofil der einzelnen Kunden zu verwenden. Dabei handelt es sich um eine probabilistische Datenstruktur, mit der wir das DNS-Profil eines Kunden speichern und verteilen können. Das versetzt uns in die Lage, es zum Zeitpunkt der Paketverarbeitung auf effiziente Weise abzufragen.
Datenverteilung
Wir müssen die DNS-Traffic-Profile aller Kunden regelmäßig neu berechnen und sie dann erneut an unsere Rechenzentren und alle unsere Server übertragen. Mithilfe unseres eigenen Speicherdiensts R2 konnten wir diese Aufgabe erheblich vereinfachen. Bei aktivierten Regional Hints und Vanity-Domains haben wir die Zwischenspeicherung eingeschaltet und nur eine Handvoll R2-Buckets verwendet. Jedes Mal, wenn wir die globale Ansicht der Kundendatenmodelle bei unseren Edge-Geräten aktualisieren müssen, werden 98 % der übertragenen Bits aus dem Cache bereitgestellt.
Integrierte Toleranz
Neue Domainnamen sind nach ihrer Einführung unseren Datenmodellen nicht sofort bekannt, weil Abfragen mit diesen Namen zuvor noch nicht registriert wurden. Deshalb und aus anderen Gründen, die zu Fehlalarmen führen können, müssen wir ein gewisses Maß an Toleranz in das System einbauen, damit potenziell legitime Abfragen passieren können. Wir nutzen zu diesem Zweck Token-Bucket-Algorithmen. Die Kunden können die Größe der Token-Buckets konfigurieren, indem sie die Empfindlichkeitsstufen des Advanced DNS Protection-Systems ändern. Je niedriger diese eingestellt ist, desto größer der Token-Bucket – und umgekehrt. Ein größerer Token-Bucket bietet mehr Toleranz für unerwartete DNS-Abfragen und erwartete, die vom Profil abweichen. Eine hohe Empfindlichkeitsstufe bedeutet einen kleineren Token-Bucket und ein strengeres Vorgehen.
Nutzung des globalen, softwaredefinierten Cloudflare-Netzwerks
Letztendlich kann Cloudflare genau solche Herausforderungen hervorragend meistern. Unsere Kunden vertrauen darauf, dass wir mit ihrem Datenverkehr richtig umgehen und den Schutz, die Ausfallsicherheit und die Performance ihrer Websites und Anwendungen gewährleisten. Wir nehmen das Vertrauen,das sie uns entgegenbringen, sehr ernst.
Advanced DNS Protection setzt unsere globale Infrastruktur und unsere Datenverarbeitungsfähigkeiten sowie smarte Algorithmen und Datenstrukturen für den Schutz unserer Kunden ein.
Wenn Sie noch kein Cloudflare-Kunde sind, lassen Sie uns wissen, ob Sie Ihre DNS-Server schützen möchten. Bestehende Cloudflare-Kunden können die neuen Systeme aktivieren, indem sie sich an ihre Ansprechpartner bei Cloudflare oder unseren Support wenden.