Bei sogenannten Amplification-Attacken werden die DNS-Server ausgenutzt, um eine große Zahl von Antworten an die Adresse eines Opfers auszulösen. Dadurch werden die Systeme des Opfers - und unter Umständen auch der Nameserver selbst - überlastet.
Diesen Attacken will die Denic nun womöglich durch Einschränkung der Anzahl versendeter Antworten begegnen. "Wir behalten uns vor, in Einzelfällen über begrenzte Zeit Response Rate Limiting (RRL) zum Schutz unserer Infrastruktur einzusetzen", erklärte die Registrierstelle für .de-Domains in einer Antwort auf eine Anfrage des IT-Newsportals heise online.
RRL wird in letzter Zeit zunehmend von Domain-Registries eingesetzt. Die Maßnahme ist allerdings umstritten, da sie dem Grundsatz von DNS widerspricht, jede Anfrage ohne Unterschied zu beantworten. Zudem besteht das Risiko von "False Positives", also legitimen Anfragen, die aus Sicherheitsgründen nicht beantwortet werden.
Derzeit ist die Denic noch dabei, Angriffe zu analysieren und sich um die Erkennung von Mustern zu bemühen. Man habe vorsorglich auch schon "die einschlägigen Werkzeuge und Vorgehensweisen geprüft", so die Denic gegenüber heise online.
Derzeit, so die Denic, sei es noch zu früh, um über dieses Thema eine fundierte und informierte Diskussion zu führen. "Im derzeitigen Stadium sind wir bestrebt, zunächst eigene Erkenntnisse zu sammeln, zu analysieren", so Pressesprecherin Stefanie Welters. Vorerst sei die Denic bestrebt, "Handlungsoptionen zu prüfen". Dies geschehe "stets unter der Prämisse, den laufenden Betrieb sicherzustellen, möglichst diskriminierungsfrei zu handeln und trotzdem die Einbeziehung unserer Systeme in solche Angriffe nicht über einen längeren Zeitraum hinweg zu ermöglichen."
Eine ideale Lösung für das Problem ist derzeit nicht in Sicht. Das DNS ist konzeptionsbedingt für Angriffe anfällig, was sich Angreifer zunehmend zunutze machen. Die Denic und andere um die Sicherheit des Systems besorgte Akteure haben nun die undankbare Aufgabe, aus mehreren nicht idealen Optionen die am wenigsten schädliche auszuwählen. Welche das ist, darüber werden sich die Beteiligten womöglich nach den derzeit laufenden Analysen eher im Klaren sein.
Kommentare