DNS-problem forbundet med DDoS-angreb bliver værre

Ifølge at forskning, der skal frigives i løbet af de næste par dage, skyldes en del af problemet på det stigende antal forbrugerenheder på internettet, der er konfigureret til at acceptere DNS-forespørgsler fra hvor som helst, hvilke netværkseksperter kalder en "åben rekursiv" eller "åben" resolver "system. Efterhånden som flere forbrugere efterspørger bredbåndsinternet, udbyder tjenesteudbydere modemer konfigureret på denne måde til deres kunder, sagde Cricket Liu, vicepræsident for arkitektur med Infoblox, DNS-apparatfirmaet, der sponsorerede forskningen. "De to ledende syndere vi fandt var Telefonica og France Telecom," sagde han.

Faktisk er procentdelen af ​​DNS-systemer på internettet, der er konfigureret på denne måde, hoppet fra omkring 50 procent i 2007 til næsten 80 procent år, ifølge Liu.

[Yderligere læsning: Bedste NAS-kasser til streaming og backup af medier]

Selv om han ikke har set Infoblox-data, gik Georgia Tech Researcher David Dagon ind for at åbne rekursive systemer er ved at stige, delvis på grund af "stigningen i hjemmenetværktøj, der tillader flere computere på internettet."

"Næsten alle internetudbydere distribuerer et hjem DSL / kabelenhed," sagde han i et e-mail-interview. "Mange af enhederne har indbyggede DNS-servere. Disse kan til tider sendes i" open default "stater."

Fordi modemer konfigureret som åbne rekursive servere besvarer DNS forespørgsler fra alle på internettet, kan de bruges i hvad der er kendt som et DNS-amplifikationsangreb.

I dette angreb sender hackere spoofede DNS-forespørgselsmeddelelser til den rekursive server og slår det til at svare på et offerets computer. Hvis de onde fyre ved, hvad de laver, kan de sende en lille 50 byte besked til et system, der vil reagere ved at sende offeret så meget som 4 kilobytes data. Ved at forhindre flere DNS-servere med disse forfalskede forespørgsler kan angriberne overvælde deres ofre og effektivt banke dem offline.

DNS-eksperter har kendt om det åbne rekursive konfigurationsproblem i årevis, så det er overraskende, at tallene hopper op.

Ifølge Dagon er et vigtigere emne imidlertid det faktum, at mange af disse enheder ikke indeholder patches for en udbredt DNS-fejl, der blev opdaget af forsker Dan Kaminsky sidste år. Denne fejl kunne bruges til at narre ejerne af disse enheder til at bruge internet-servere, der er kontrolleret af hackere uden at indse, at de er blevet duped.

Infoblox vurderer, at 10 procent af de åbne rekursive servere på internettet ikke er blevet patched.

Infoblox-undersøgelsen blev udført af The Measurement Factory, som får sine data ved at scanne omkring 5 procent af IP-adresserne på internettet. Dataene vil blive offentliggjort her i løbet af de næste par dage.

Ifølge Measurement Factory President Duane Wessels forekommer DNS-amplifikationsangreb, men de er ikke den mest almindelige form for DDoS-angreb. "De af os, der sporer disse og er opmærksomme på det, har en tendens til at være lidt overrasket over, at vi ikke ser flere angreb, der bruger åbne resolvere," sagde han. "Det er lidt af et puslespil."

Wessels mener, at overgangen til næste generationens IPv6-standard muligvis ved et uheld kan bidrage til problemet. Nogle af modemene er konfigureret til at bruge DNS server software kaldet Trick or Tread Daemon (TOTd) - som konverterer adresser mellem IPv4 og IPv6 formater. Ofte er denne software konfigureret som en åben resolver, siger Wessels.