Izvješće: Otvoreni DNS resolveri sve zloupotrijebljeni za pojačavanje DDoS napada

Otvoreni i pogrešno konfigurirani resolverovi DNS (Domain Name System) sve se više koriste za pojačavanje distribuiranih (DDoS), navodi se u izvješću koje je objavio u srijedu HostExploit, organizacija koja prati internetske domaćine uključene u aktivnosti cyber kriminala.

U najnovijem izdanju svog World Hosts Reporta koji obuhvaća treći kvartal 2012., organizacija je uključila podatke o otvorenim DNS resolverima i Autonomnim sustavima - velikim blokovima Internet Protocol (IP) adresa koje kontroliraju mrežni operateri - gdje su locirani d.

To je zato što su, prema HostExploit, nepravilno konfigurirani poslužitelji otvorenih DNS resolvera, kojima bi bilo tko mogao koristiti za rješavanje imena domena na IP adrese, sve zloupotrijebljen za pokretanje snažnih DDoS napada. za uklanjanje zlonamjernog softvera s vašeg Windows računala]

DNS amplifikacijski napadi datiraju više od 10 godina i temelje se na činjenici da mali DNS upiti mogu rezultirati znatno većim DNS odgovorima.

Napadač može poslati šaljiv DNS zahtjeve velik broj otvorenih DNS resolver-a i koristiti spoofing da bi se pojavio kao da su ti zahtjevi potekli iz IP adrese cilja. Kao rezultat toga, resolver će poslati svoje velike odgovore natrag na IP adresu žrtve umjesto adrese pošiljatelja.

Osim što ima učinak pojačavanja, ova tehnika jako otežava žrtvi utvrditi izvorni izvor napad i također onemogućava poslužitelje naziva koji su gore na DNS lancu koje zatraži zlostavljani otvoreni DNS resolver kako bi vidjeli IP adresu žrtve.

"Činjenica da tako mnogi od tih neupravljanih otvorenih rekurzora postoje, dopuštaju napadačima kako bi zamrljali odredišne ​​IP-ove stvarnih DDoS ciljeva od operatora autoritativnih poslužitelja čiji su veliki zapisi zloupotrebljavali ", rekao je Roland Dobbins, arhitektica rješenja u timu za sigurnost i inženjerstvo u DDoS prodavaču Arbor Networks, četvrtak putem e-pošte.

"Također je važno napomenuti da je implementacija DNSSEC-a učinila napade DNS refleksije / amplifikacije prilično jednostavnijima, jer će najmanji odgovor napadača stimulirati f ili bilo koji upit koji odabere je najmanje 1300 bajtova ", rekao je Dobbins.

Iako je ova metoda napada već godinama poznata," DDoS pojačanje se koristi mnogo češće sada i na razoran učinak ", napisao je Bryn Thompson iz HostExploit u blog postu. "Ovo smo nedavno vidjeli i vidimo da se povećava", rekao je čelnik Neal Quinn, glavni operativni časnik prodavača DDoS Prolexic, putem emaila.

"Ova tehnika omogućuje relativno malim botnetima stvoriti velike poplave prema njihovom cilju ", rekao je Quinn. "Problem je ozbiljan jer stvara velike količine prometa, što može biti teško upravljati mnogim mrežama bez korištenja usluga za ublažavanje oblak."

Dobbins nije mogao odmah podijeliti nikakve podatke o nedavnoj učestalosti DNS-a Ali napominje da SNMP (Simple Network Management Protocol) i NTP (Network Time Protocol) refleksiji / amplifikacijski napadi "također mogu generirati vrlo velike, nadmoćne veličine napada".

U svom izvješću, HostExploit je rangirao autonomne sustave najveći broj otvorenih DNS resolvera u njihovim IP adresnim mjestima. Najviši, pod kontrolom Terra Networks Čile, sadrži više od 3200 otvorenih rješenja u bazenu od oko 1,3 milijuna IP-ova. Drugi, koji kontrolira Telecomunicacoes de Santa Catarina (TELESC), sada dio Oi, najvećeg telekomunikacijskog operatera u Brazilu, sadrži gotovo 3.000 razlučivača u prostoru od 6.3 milijuna IP adresa.

"Treba naglasiti da otvoreni rekurzivni poslužitelji imena nisu problem u sebi; to je pogrešna konfiguracija poslužitelja naziva gdje postoji potencijalni problem ", izjavio je HostExploit u izvješću.