Porno-site Feud spawnt nieuwe DNS-aanval

Een schroot tussen twee pornografische websites werd smerig toen men uitvond hoe de andere te verwijderen door een voorheen onbekende gril in het Domain Name System (DNS) van het internet te exploiteren.

De aanval staat bekend als DNS-versterking. Het is sporadisch gebruikt sinds december, maar het begon al vorige maand over praten toen ISPrime, een kleine internetprovider in New York, hard werd geraakt door een zogenaamde distributed denial of service (DDOS) -aanval. De aanval werd gelanceerd door de exploitant van een pornografische website die probeerde een concurrent af te sluiten, gehost op het ISPrime-netwerk, volgens Phil Rosenthal, chief technology officer van het bedrijf.

De aanval op ISPrime begon op de ochtend van zondag, 18 januari. Het duurde ongeveer een dag, maar wat opmerkelijk was, was dat een relatief klein aantal pc's een zeer grote hoeveelheid verkeer op het netwerk kon genereren.

[Meer lezen: de beste NAS-boxen voor mediastreaming en back-up]

Een dag later volgde een soortgelijke aanval, die drie dagen duurde. Voordat ISPrime het ongewenste verkeer kon filteren, konden aanvallers ongeveer 5 GB / seconde van de bandbreedte van het bedrijf verbruiken,

Met een beetje werk kon het personeel van Rosenthal het vijandige verkeer filteren, maar in een e-mail mail interview zei hij dat de aanval "een verontrustende trend vertegenwoordigt in de verfijning van denial of service aanvallen."

Volgens Don Jackson, directeur van bedreigingsinformatie bij beveiligingsleverancier SecureWorks, kunnen we binnenkort veel meer van deze DNS-versterking zien aanvallen. Eind vorige week begonnen de exploitanten van botnetten, die hun netwerken van gehackte computers aan de hoogste bieder verhuren, aangepaste DNS-versterkingshulpmiddelen aan hun netwerken toe te voegen.

"Iedereen heeft het nu opgepikt," zei hij. "De volgende grote DDOS over een voormalige Sovjetrepubliek, je zult zien dat dit wordt genoemd, dat weet ik zeker."

Een van de dingen die een DNS-amplificatieaanval bijzonder vervelend maken, is het feit dat door het sturen van een heel klein pakket naar een legitieme DNS-server, zeg 17 bytes, de aanvaller kan vervolgens de server misleiden tot het verzenden van een veel groter pakket - ongeveer 500 bytes --- aan het slachtoffer van de aanval. Door de bron van het pakket te vervalsen, kan de aanvaller het richten op specifieke delen van het netwerk van zijn slachtoffer. schat dat de 5 GB / seconde aanval tegen ISPrime werd bereikt met slechts 2.000 computers, die neppakketten naar duizenden legitieme nameservers, die allemaal het ISPrime-netwerk begonnen te overstromen. ISprime's Rosenthal zegt dat ongeveer 750.000 legitieme DNS-servers werden gebruikt bij de aanval op zijn netwerk.

Eerder deze week produceerde SecureWorks een technische analyse van de DNS Amplification-aanval.

De aanval genereert veel discussie tussen DNS-experts, volgens Duane Wessels, programmamanager bij DNS-OARC (Operations Analysis and Research Center), gevestigd in Redwood City, Californië.

"De zorg is dat dit soort aanvallen kunnen worden gebruikt op meer prominente doelen," zei hij.

Een van de dingen die de aanval bijzonder smerig maakt, is dat het erg moeilijk is om tegen te beschermen.

"Voor zover ik weet, is de enige echte verdediging die je hebt, om je toeleverancier te vragen om [het kwaadaardige verkeer], "zei hij. "Het is niet iets dat het slachtoffer zelf kan doen, ze hebben de medewerking van de provider nodig."

Het DNS-systeem, een soort hulpdienst voor internetdiensten, is het afgelopen jaar steeds kritischer onder de ogen gekomen, toen hacker Dan Kaminsky ontdekte een ernstige tekortkoming in het systeem. Die fout, die nu is gepatcht door makers van DNS-software, zou kunnen worden uitgebuit om internetverkeer zwijgend naar kwaadwillende computers om te leiden, zonder medeweten van het slachtoffer.

DNS-OARC heeft enige informatie gepubliceerd over hoe te voorkomen dat BIND DNS-servers worden gebruikt in een van deze aanvallen. Microsoft was niet in staat om onmiddellijk informatie te geven over hoe deze specifieke aanval op haar eigen producten te beperken, maar de richtlijnen voor het inzetten van veilige DNS-servers vindt u hier.