Title (deu): Analyse von DDoS-Angriffen mittels DNS am Beispiel von Dyn und die Gegenmaßnahmen

Author: Wabro, L. (Lukas)

Description (deu): Masterarbeit, Fachhochschule St. Pölten, Studiengang Information Security, 2017

Description (deu): In dieser Diplomarbeit wird eine Analyse durchgeführt, wie es mittels Distributed Denial of Service (DDoS)-Angriffs in Verbindung mit dem Domain Name System (DNS) möglich war, den Dienst des Unternehmens Dyn zu beeinträchtigen beziehungsweise völlig in seiner Funktion zu stören. Um diese Analyse durchführen zu können werden die einzelnen Komponenten, Technologien und Verfahren detailliert beschrieben. Dazu gehören das DNS, sowie dessen Sicherheitserweiterungen DNS-Security Extensions (DNSSEC), die Funktionsweise eines DDoS-Angriffs in Verbindung mit dem DNS und das Unternehmen Dyn, welches den Dienst zur Verfügung stellt. Im Rahmen dieser Diplomarbeit wird ebenso auf die Kontroverse eingegangen, ob DNSSEC ausschließlich die Auswirkungen von DDoS-Angriffen verstärkt beziehungsweise zur Verstärkung benutzt wird, oder doch auch eine Abwehrmaßnahme gegen solche Angriffe darstellt oder darstellen kann. Überdies werden in dieser Diplomarbeit noch andere Maßnahmen zur Abwehr von DDoS-Angriffen beschrieben, die sich am Beispiel des Angriffs auf den Dienst von Dyn als hilfreich erwiesen hätten. Um zum Verständnis beizutragen, welchen Dienst das Unternehmen Dyn zur Verfügung stellt, wird die Funktionsweise des DNS, sowie dessen Komponenten und die Sicherheitserweiterungen beschrieben. Innerhalb dieses Abschnitts der Diplomarbeit werden die Funktionsweise und die entsprechenden Records der DNS-Security Extensions analysiert, wobei dem Thema „NSEC/NSEC3 Aggressive Negative Caching“ ein besonderer Fokus verliehen wird. Dies ist eine Neuerung im DNSSEC-Protokoll, die als Abwehrmaßnahme gegen DDoS-Angriffe eingesetzt werden kann. Im darauffolgenden Abschnitt werden die Funktionsweise und der Ablauf eines DDoS-Angriffs beschrieben. Dabei wird speziell auf die verwendeten Methoden eingegangen, die beim Angriff auf das Unternehmen Dyn verwendet wurden. Bei jenen Methoden handelt es sich um eine „DNS Water Torture Attack“ und eine „DNS Amplification Attack“. Im Anschluss wird der vom Unternehmen Dyn zur Verfügung gestellte Dienst beschrieben und eine Analyse des Angriffs vom 21. Oktober 2016 unternommen. Auf Basis der Erkenntnisse dieser Analyse werden im nächsten Kapitel die daraus resultierenden Gegenmaßnahmen abgeleitet. Die gefundenen Gegenmaßnahmen beziehen sich in erster Linie auf „DNS Amplification Attacks“, wobei sich nur „Ingress filtering“ und EDNS0 Cookies als wirkungsvoll erweisen. Zu „DNS Water Torture Attacks“ wurden lediglich zwei Gegenmaßnahmen eruiert, welche unter gewissen Umständen eine zusätzliche Schutzschicht bieten. Der letzte Abschnitt dieser Diplomarbeit widmet sich einer detaillierten Schlussfolgerung auf Basis der gewonnenen Erkenntnisse, sowie einem Ausblick hinsichtlich zukünftiger Ereignisse.

Description (eng): This thesis provides an analysis of how it was possible to impair or rather completely interrupt the services of the provider Dyn through a Distributed Denial of Service (DDoS) attack in connection with the Domain Name System (DNS). In order to support this analysis, the first section of the thesis is dedicated to providing a detailed description of the various components, technologies and processes. The latter section includes the DNS, as well as its security extensions (DNSSEC), the functionality of a DDoS attack in connection with the DNS and the company Dyn, which is offering the service. This thesis is researching the controversial discussion whether DNSSEC merely increases the consequences of a DDoS attack or whether it can also represent a defensive measure for such attacks. Moreover, this thesis will present and evaluate other defensive measures for DDoS attacks, which could have mitigated the case of the Dyn attack. In order to provide an in-depth understanding of the Dyn services, this thesis will elaborate on the functioning of the DNS, its components and security extensions. An analysis of the functionality and the respective records of the DNS security extensions will be covered as well. The topic of NSEC/NSEC3 Aggressive Negative Caching will receive special attention, since it is a new development within the DNSSEC protocol that can be used as a defensive measure against DDoS attacks. The subsequent section is dedicated to the functioning and process of a DDoS attack. This chapter will elaborate further on the specific measures and methods that were used in the case of the Dyn attack – DNS Water Torture Attack and DNS Amplification Attack. Thereafter, the focus is on Dyn, its services and the attack that happened on the 21st October 2016. Based on the findings of this analysis, the subsequent chapter elaborates on the potential resulting counteractions. The reasonable countermeasures revolve around DNS Amplification Attacks, whereby only Ingress filtering and EDNS0 cookies can be identified as being effective. Only two measures have been identified as potential safety measures when it comes to DNS Water Torture attacks. The last section of this thesis is dedicated to a detailed analysis of the implications of the findings and it provides a hypothetical outlook regarding future events.

Object languages: German

Date: 2017

Rights: © All rights reserved

Classification: Cyberattacke

Permanent Identifier