Porn Site Feud springer nyt DNS Attack

Et skrot mellem to pornografiske websteder blev ubehageligt, da man fandt ud af, hvordan man tog den anden ud ved at udnytte en tidligere ukendt quirk i internets domænenavnssystem (DNS).

Angrebet kaldes DNS-forstærkning. Det er blevet brugt sporadisk siden december, men det begyndte at blive talt om sidste måned, da ISPrime, en lille New York-internetudbyder, begyndte at blive hårdt ramt af det såkaldte DDOS-angreb. Angrebet blev lanceret af operatøren af ​​et pornografisk websted, der forsøgte at lukke en konkurrent, der var vært på ISPrime's netværk, ifølge Phil Rosenthal, virksomhedens chefsteknolog.

Angrebet på ISPrime startede om morgenen søndag, Den 18. januar. Det varede om en dag, men det var bemærkelsesværdigt, at et relativt lille antal pc'er kunne generere en meget stor trafik på netværket.

[Yderligere læsning: Bedste NAS-kasser til streaming af medier og backup]

En dag senere fulgte et lignende angreb, der varede i tre dage. Før ISPrime var i stand til at filtrere den uønskede trafik, kunne angriberne bruge op omkring 5 GB / sekund af virksomhedens båndbredde,

Med en smule arbejde kunne Rosenthal's personale filtrere ud den fjendtlige trafik, men i en e- mail-interview sagde han, at angrebet "repræsenterer en foruroligende tendens i den sofistikerede afvisning af serviceangreb." Ifølge Don Jackson, direktør for hot intelligence hos sikkerhedsleverandøren SecureWorks, kan vi snart se meget mere af disse DNS-forstærkninger angreb. I sidste uge begyndte botnetoperatørerne, der udlejer deres netværk af hackede computere til den højeste budgiver, at tilføje tilpassede DNS-forstærkningsprogrammer til deres netværk.

"Alle har hentet det nu," sagde han. "Den næste store DDOS på nogle tidligere sovjetiske republikker, du kan se dette nævnt, jeg er sikker."

En af de ting, der gør et DNS-amplifikationsangreb særligt ubehageligt, er, at ved at sende en meget lille pakke til en legitim DNS-server, siger 17 bytes, kan angriberen så narre serveren til at sende en meget større pakke - ca. 500 bytes --- til offerets angreb. Ved at forfalske kilden til pakken kan angriberen henvise det til bestemte dele af sit offers netværk. Jackson estimerer, at 5GB / sekund angrebet mod ISPrime blev opnået med kun 2.000 computere, der sendte spoofede pakker til tusindvis af legitime navneservere, som alle begyndte at oversvømme ISPrime-netværket. ISPrime's Rosenthal siger, at omkring 750.000 legitime DNS-servere blev brugt i angrebet på sit netværk.

SecureWorks fremlagde en teknisk analyse af DNS Amplification-angrebet tidligere i ugen.

Angrebet genererer en masse diskussion blandt DNS-eksperter, ifølge Duane Wessels, programleder med DNS-OARC (Operations Analysis and Research Center), baseret i Redwood City, Californien. "

" Bekymringen er, at denne form for angreb kunne bruges på mere højt profilerede mål " sagde han.

En af de ting, der gør angrebet særligt ubehageligt, er, at det er meget svært at beskytte imod.

"Så vidt jeg ved, er det eneste egentlige forsvar du har, at bede din upstream-leverandør om at filtrere [den ondsindede trafik], "sagde han. "Det er ikke noget, som offeret kan gøre af sig selv. De har brug for samarbejde fra udbyderen."

DNS-systemet, en slags telefonbistandstjeneste til internettet, er under øget kontrol i det forløbne år, da hacker Dan Kaminsky opdaget en alvorlig fejl i systemet. Den fejl, som nu er blevet patchet af beslutningstagere af DNS-software, kunne udnyttes til omdirigering af internettrafik til ondsindede computere uden offerets viden.

DNS-OARC har offentliggjort nogle oplysninger om, hvordan man forhindrer BIND DNS-servere i at blive brugt i et af disse angreb. Microsoft kunne ikke straks give oplysninger om, hvordan man mildner dette angreb på sine egne produkter, men vejledningen om implementering af sikre DNS-servere kan findes her.