Was ist ein DNS-Amplification-Angriff?
Ein DNS-Amplification-Angriff ist eine reflection-basierte DDoS-Technik, bei der ein Angreifer fehlkonfigurierte offene DNS-Resolver missbraucht, um ein Opfer mit großen Response-Paketen zu überfluten. Der Angreifer sendet kleine DNS-Queries (~60 Bytes) mit der IP des Opfers als gespoofte Source. Die DNS-Server antworten mit viel größeren Replies (1.000-4.000+ Bytes) gesendet an die gespoofte Source — das Opfer. Resultat: Bandbreite des Angreifers wird 50-100x verstärkt.
DNS-Amplification war für viele der größten DDoS-Angriffe in der Geschichte verantwortlich, mit Peaks über 300 Gbps.
Wie DNS-Amplification funktioniert
- Angreifer craftet gespoofte DNS-Query. Source-IP ist auf Opfer-IP gesetzt.
- Query gesendet an offenen DNS-Resolver.
- Resolver antwortet an Opfer.
- Opfer wird geflutet.
- Wiederholen at Scale.
Warum Amplification-Faktor wichtig ist
| Query-Typ | Query-Größe | Response-Größe | Amplification-Faktor |
|---|---|---|---|
| Standard-A-Record | ~60 Bytes | ~80 Bytes | 1,3x |
| ANY-Query | ~60 Bytes | ~3.000 Bytes | 50x |
| DNSSEC-TXT | ~60 Bytes | ~4.000 Bytes | 67x |
| Maximum (selten) | ~60 Bytes | ~6.000 Bytes | 100x |
Warum offene DNS-Resolver existieren
Ein "offener Resolver" akzeptiert DNS-Queries von beliebigen Source-IPs — selten absichtlich, meist Misconfiguration. Korrekt konfigurierte DNS-Server sind entweder authoritative oder recursive nur für spezifische Clients.
Mitigation
Für potenzielle Opfer
- CDN/DDoS-Service nutzen.
- Ausreichende Bandbreite provisionieren.
- DNS-Responses zu Ihren IPs rate-limiten.
- Auf plötzliche Traffic-Spikes monitoren.
Für DNS-Server-Betreiber
- Offene Recursion deaktivieren.
- Response Rate Limiting (RRL) implementieren.
- ANY-Queries filtern.
- DNS-Cookies (RFC 7873) deployen.
Für ISPs/Netzwerke (BCP 38)
- Source-Address-Validation (BCP 38) implementieren.
Andere Reflection-Attack-Typen
- NTP-Amplification — ~556x.
- Memcached-Amplification — ~50.000x. Verursachte 2018 GitHub-Attack von 1,35 Tbps.
- SSDP-Amplification
- SNMP-Amplification
FAQ: DNS-Amplification-Angriffe
Kann ich Opfer eines DNS-Amplification-Angriffs werden?
Ja — jeder mit öffentlichen IPs kann Ziel sein.
Wie checke ich ob mein DNS-Server ein offener Resolver ist?
Tools wie dig +recurse @your-server-ip example.com von außerhalb Ihres Netzwerks nutzen.
Sind DNS-Amplification-Angriffe immer noch häufig?
Ja, aber kleinerer Anteil als in frühen 2010er-Jahren.
Macht DNSSEC Amplification schlimmer?
Ja — DNSSEC-Responses sind viel größer.
Kann BCP 38 DNS-Amplification stoppen?
Wenn universal deployt, ja.
Was war der größte DNS-Amplification-Angriff?
Spamhaus 2013 (~300 Gbps) und Cloudflare 2014 (~400 Gbps).
DDoS-Schutz mit LoadFocus testen
Wenn Sie Ihre DDoS-Defenses validieren, läuft LoadFocus HTTP-Lasttests bis 12.500 VUs aus 25+ Regionen. Registrieren bei loadfocus.com/signup.
Verwandte LoadFocus-Tools
Setze dieses Konzept mit LoadFocus in die Praxis um — derselben Plattform, die alles antreibt, was du gerade gelesen hast.