Was ist DNS-Amplification?

DNS Amplification (auch als DNS-Reflection-Angriff bekannt) ist eine besonders wirkungsvolle Art von Distributed-Denial-of-Service-(DDoS-)Angriffen, die die Art und Weise ausnutzt, wie DNS-Server auf Anfragen antworten.

Wie der Angriff funktioniert

Ein Angreifer sendet eine kleine DNS-Anfrage an einen verwundbaren DNS-Server (auch Open Resolver genannt) und fälscht dabei die Quell-IP-Adresse, sodass sie der IP-Adresse des Opfers entspricht.
Der DNS-Server antwortet daraufhin mit einer deutlich größeren Antwort — oft 50 bis 100 Mal größer als die ursprüngliche Anfrage.

Infolgedessen wird der Server oder das Netzwerk des Opfers mit diesem verstärkten Datenverkehr geflutet, was die Bandbreite schnell überlastet und den Dienst unerreichbar macht.

Der Angriff ist besonders wirksam gegen falsch konfigurierte DNS-Server, die rekursive Anfragen von beliebigen Quellen aus dem Internet zulassen.

So schützen Sie sich vor DNS Amplification

1. Unsere DNS-Server verwenden (empfohlen)
   Wir empfehlen ausdrücklich, Ihre Domains an die Fornex NS-Server zu delegieren.
   Sie sind an mehreren geografischen Standorten verteilt, gegen Amplification-Angriffe geschützt und für hohe Lasten ausgelegt.

2. Wenn Sie Ihren eigenen DNS-Server betreiben:

   • Halten Sie Ihre DNS-Software stets aktuell.
   • Deaktivieren Sie Rekursion für externe Clients (erlauben Sie sie nur für vertrauenswürdige Netzwerke).
   • Aktivieren Sie Response Rate Limiting (RRL).
   • Beschränken Sie ausgehende Antworten auf die notwendigen Record-Typen.

Warum das wichtig ist

DNS Amplification zählt nach wie vor zu den einfachsten und wirksamsten DDoS-Angriffsvektoren. Ein einziger schlecht konfigurierter DNS-Server kann zu einer leistungsstarken Waffe gegen andere Ziele werden.

Durch die Nutzung unserer Nameserver ist Ihre Infrastruktur bereits auf Provider-Ebene gegen diesen Angriffstyp geschützt.