Rapport: open DNS-resolvers steeds vaker misbruikt om DDoS-aanvallen te versterken

Open en verkeerd geconfigureerde DNS (Domain Name System) resolvers worden in toenemende mate gebruikt om gedistribueerd te verspreiden denial-of-service (DDoS) -aanvallen, volgens een rapport dat woensdag is vrijgegeven door HostExploit, een organisatie die internetgastheren bij cybercriminele activiteiten bijhoudt.

In de laatste editie van het World Hosts Report, dat het derde kwartaal van 2012 beslaat, de organisatie omvatte gegevens over open DNS-resolvers en de autonome systemen - grote blokken met internetprotocol (IP) -adressen die worden beheerd door netwerkexploitanten - waar ze zich bevinden d.

Dat komt omdat, volgens HostExploit, verkeerd geconfigureerde open DNS-resolvers-servers die door iedereen kunnen worden gebruikt om domeinnamen op te lossen naar IP-adressen, in toenemende mate worden misbruikt om krachtige DDoS-aanvallen uit te voeren.

[Meer informatie: Hoe om malware van uw Windows-pc te verwijderen]

DNS-versterkingsaanvallen dateren van meer dan 10 jaar en zijn gebaseerd op het feit dat kleine DNS-query's kunnen resulteren in aanzienlijk grotere DNS-antwoorden.

Een aanvaller kan frauduleuze DNS-verzoeken naar een een groot aantal open DNS-resolvers en maakt gebruik van spoofing om het te laten lijken alsof die verzoeken afkomstig zijn van het IP-adres van het doel. Als gevolg hiervan zullen de resolvers hun grote antwoorden terugsturen naar het IP-adres van het slachtoffer in plaats van naar het adres van de afzender.

Behalve dat het een versterkingseffect heeft, maakt deze techniek het erg moeilijk voor het slachtoffer om de oorspronkelijke bron van het aanval en maakt het ook onmogelijk voor nameservers hoger in de DNS-keten die door de misbruikte open DNS-resolvers worden ondervraagd om het IP-adres van het slachtoffer te zien.

"Het feit dat er zoveel van deze niet-beheerde open recursors bestaan, staat de aanvallers verdoezelen de IP-adressen van de werkelijke DDoS-doelen van de operatoren van de gezaghebbende servers waarvan ze grote records misbruiken, "zei Roland Dobbins, solutions architect in het Security & Engineering Response Team bij DDoS-beveiligingsleverancier Arbor Networks, donderdag via e-mail.

"Het is ook belangrijk op te merken dat de inzet van DNSSEC DNS-reflectie / amplificatie-aanvallen een stuk eenvoudiger heeft gemaakt, omdat de aanvaller de kleinste reactie of een zoekopdracht die hij kiest, is minstens 1300 bytes, "zei Dobbins.

Hoewel deze aanvalsmethode al jaren bekend is, wordt" DDoS-amplificatie nu veel vaker gebruikt en tot een verwoestend effect ", schreef Bryn Thompson van HostExploit woensdag in een blogpost.

"We hebben dit recent gezien en we zien dit toenemen", zei Neal Quinn, de chief operating officer van DDoS-mitigation-leverancier Prolexic, donderdag via e-mail.

"Met deze techniek kunnen relatief kleine botnets grote overstromingen in de richting van hun doelwit creëren, 'zei Quinn. "Het probleem is ernstig omdat het grote hoeveelheden verkeer genereert, wat voor veel netwerken moeilijk te beheren is zonder gebruik te maken van een aanbieder van cloudvermindering."

Dobbins kon niet onmiddellijk gegevens delen over de recente frequentie van DNS-gebaseerde DDoS-amplificatie-aanvallen, maar merkten op dat SNMP-aanvallen (Simple Network Management Protocol) en NTP-aanvallen (Network Time Protocol) "ook zeer grote, overweldigende aanvalsgrootten kunnen genereren."

In zijn rapport classificeerde HostExploit de autonome systemen met het grootste aantal open DNS-resolvers in hun IP-adresruimten. De bovenste, beheerd door Terra Networks Chile, bevat meer dan 3.200 open resolvers in een pool van ongeveer 1,3 miljoen IP's. De tweede, beheerd door Telecomunicacoes de Santa Catarina (TELESC) - nu onderdeel van Oi, de grootste telecomoperator van Brazilië - bevat bijna 3.000 resolvers in een ruimte van 6,3 miljoen IP-adressen.

"Het moet benadrukt worden dat recursieve naamservers op zich geen probleem zijn; het is de verkeerde configuratie van een nameserver waar het potentiële probleem ligt, "zei HostExploit in zijn rapport.