DNS-probleem gekoppeld aan DDoS-aanvallen wordt erger

Volgens experts leveren verkeerd geconfigureerde DSL- en kabelmodems een bekend probleem met het DNS-systeem (domeinnaamsysteem) op het internet, waardoor hackers gemakkelijker gedistribueerde Denial-of-Service (DDoS) -aanvallen op hun slachtoffers kunnen lanceren.

voor onderzoek dat in de komende dagen wordt vrijgegeven, wordt een deel van het probleem toegeschreven aan het groeiend aantal consumentenapparaten op internet die zijn geconfigureerd om overal DNS-zoekopdrachten te accepteren, wat netwerkdeskundigen een "open recursief" of "open" noemen resolver "-systeem. Aangezien meer consumenten behoefte hebben aan breedbandinternet, introduceren serviceproviders modems die op deze manier zijn geconfigureerd voor hun klanten, aldus Cricket Liu, vice-president van architectuur bij Infoblox, het DNS-apparaatbedrijf dat het onderzoek heeft gesponsord. "De twee belangrijkste boosdoeners die we hebben gevonden, waren Telefonica en France Telecom," zei hij.

Het percentage DNS-systemen op het internet dat op deze manier is geconfigureerd, is in 2007 zelfs gestegen van ongeveer 50 procent naar bijna 80 procent. jaar, volgens Liu.

[Nader lezen: de beste NAS-boxen voor mediastreaming en back-up]

Hoewel hij de Infoblox-gegevens niet heeft gezien, was Georgia Tech Researcher David Dagon het ermee eens dat open recursieve systemen in de lift zitten. deels vanwege "de toename in apparaten voor thuisnetwerken die meerdere computers op internet mogelijk maken."

"Bijna alle ISP's distribueren een DSL- / kabelapparaat thuis", zei hij in een e-mailinterview. "Veel van de apparaten hebben ingebouwde DNS-servers, die soms in 'open standaard' toestanden worden verzonden."

Omdat modems die zijn geconfigureerd als open recursieve servers DNS-query's van iedereen op internet zullen beantwoorden, kunnen ze worden gebruikt in wat bekend staat als een DNS-amplificatie-aanval.

In deze aanval sturen hackers vervalste DNS-queryberichten naar de recursieve server, waardoor ze worden overgehaald om te antwoorden op de computer van een slachtoffer. Als de slechteriken weten wat ze doen, kunnen ze een klein 50-bytesbericht sturen naar een systeem dat zal reageren door het slachtoffer zoveel als 4 kilobytes aan gegevens te sturen. Door verschillende DNS-servers te blokkeren met deze nepverzoeken, kunnen aanvallers hun slachtoffers overweldigen en ze effectief offline zetten.

DNS-experts weten al jarenlang van het open recursieve configuratieprobleem, dus het is verrassend dat de cijfers omhoog springen.

Volgens Dagon is echter een belangrijker kwestie het feit dat veel van deze apparaten geen patches bevatten voor een veel gepubliceerde DNS-fout die vorig jaar door onderzoeker Dan Kaminsky werd ontdekt. Die fout kan worden gebruikt om de eigenaars van deze apparaten te misleiden tot het gebruik van internetservers die worden beheerd door hackers zonder zich ooit te realiseren dat ze zijn gedupeerd. Infoblox schat dat 10 procent van de open recursieve servers op het internet niet zijn gepatcht.

De Infoblox-enquête werd uitgevoerd door The Measurement Factory, die zijn gegevens verkrijgt door ongeveer 5 procent van de IP-adressen op internet te scannen. De gegevens zullen hier in de komende paar dagen worden geplaatst.

Volgens Measurement Factory President Duane Wessels komen DNS-versterkingsaanvallen voor, maar ze zijn niet de meest voorkomende vorm van DDoS-aanval. "Degenen onder ons die deze volgen en zich hiervan bewust zijn, zijn nogal een beetje verbaasd dat we niet meer aanvallen zien die open resolvers gebruiken," zei hij. "Het is een soort van een puzzel." Wessels is van mening dat de overgang naar de volgende generatie IPv6-standaard mogelijk onbedoeld bijdraagt ​​aan het probleem. Sommige modems zijn geconfigureerd om de DNS-serversoftware Trick of Tread Daemon (TOTd) te gebruiken - die adressen converteert tussen IPv4- en IPv6-indelingen. Vaak is deze software geconfigureerd als een open resolver, zei Wessels.