Als offene DNS-Resolver werden DNS-Server bezeichnet, welche rekursive Anfragen für beliebige Domainnamen aus dem Internet zulassen und beantworten.

Problem

Offene DNS-Resolver können für DDoS-Reflection-Angriffe gegen IT-Systeme Dritter missbraucht werden.

Prüfung

Dieser Abschnitt beschreibt, wie Sie Ihr System auf einen offenen Dienst prüfen können. Es existieren üblicherweise mehrere Wege, dies zu testen. Das hier beschriebene Verfahren ist eines davon. Für alle hier beschriebenen Testverfahren werden Programme verwendet, die in gängigen Linux/Unix-Distributionen enthalten sind. Um zu überprüfen, ob ein Dienst offen aus dem Internet erreichbar ist, sollte die Prüfung nicht auf dem System selbst oder im lokalen Netzwerk erfolgen, sondern von einem anderen System im Internet, zum Beispiel an einem Kabel/DSL-Internetzugang. In allen Beispielen muss 192.168.45.67 durch die IP-Adresse des Systems ersetzt werden, welches geprüft werden soll.

Um zu überprüfen, ob ein DNS-Server als offener Resolver konfiguriert ist, kann eine Anfrage für einen beliebigen Domainnamen (für den der DNS-Server nicht autoritativ ist) an die IP-Adresse des fraglichen DNS-Servers gesendet werden. Dazu kann zum Beispiel das Programm 'dig' verwendet werden:

$ dig cert-bund.de @192.168.45.67

Ein offener Resolver, welcher rekursive Anfragen erlaubt, liefert eine Antwort wie diese, gefolgt von einem Satz von DNS-Einträgen:

; <<>> DiG 9.8.1-P1 <<>> cert-bund.de @192.168.45.67

;; global options: +cmd

;; Got answer:

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 43941

;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

Ein DNS-Server, welcher keine rekursiven Anfragen erlaubt, antwortet stattdessen mit einer Fehlermeldung dieser Art:

; <<>> DiG 9.8.1-P1 <<>> cert-bund.de @192.168.45.67

;; global options: +cmd

;; Got answer:

;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 42022

;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

;; WARNING: recursion requested but not available

Lösung

Deaktivieren Sie die Beantwortung rekursiver Anfragen in der Konfiguration des DNS-Servers oder beschränken Sie diese auf vertrauenswürdige Clients.

• BIND: Secure BIND Template
• Microsoft Windows: Disable Recursion on the DNS Server

Hinweise zur Deaktivierung der Rekursion bei anderen DNS-Servern entnehmen Sie bitte der Dokumentation des jeweiligen DNS-Servers.

Weitere Informationen

• Wikipedia: Domain Name System
• BSI: Zunahme von DDoS-Angriffen durch DNS-Reflection
• BSI: Sichere Bereitstellung von DNS-Diensten
• US-CERT: DNS Amplification Attacks (TA13-088A)