Rapport: Åbn DNS-resolvere misbruges for at forstærke DDoS-angreb

Åbne og fejlkonfigurerede DNS (Domain Name System) resolvere bruges i stigende grad til at forstærke distribueret (DDoS) angreb, ifølge en rapport udgivet onsdag af HostExploit, en organisation der sporer internetværter involveret i cybercriminal aktiviteter.

I den seneste udgave af sin World Hosts Report, der dækker tredje kvartal 2012, organisationen omfattede data om åbne DNS-resolvere og de autonome systemer-store blokke af internetprotokol (IP) adresser kontrolleret af netværksoperatører hvor de er lokaliseret d.

Det skyldes, at HostExploit, forkert konfigureret åbne DNS-resolvere-servere, der kan bruges af alle til at løse domænenavne til IP-adresser, bliver mere og mere misbrugt til at starte kraftfulde DDoS-angreb.

[Yderligere læsning: Hvordan at fjerne malware fra din Windows-pc]

DNS-amplifikationsangreb går tilbage i mere end 10 år og er baseret på, at små DNS-forespørgsler kan resultere i væsentligt større DNS-svar.

En angriber kan sende falske DNS-anmodninger til en stort antal åbne DNS-resolvere og brug spoofing for at få det til at se ud som om disse anmodninger stammer fra målets IP-adresse. Som følge heraf sender resolverne deres store svar tilbage til offerets IP-adresse i stedet for afsenderens adresse.

Ud over at have en forstærkningseffekt gør denne teknik det meget svært for offeret at bestemme den oprindelige kilde til angreb og gør det også umuligt for navneservere højere op på DNS-kæden, der forespørges af de misbrugte åbne DNS-resolvere for at se offerets IP-adresse.

"Den kendsgerning, at så mange af disse ustyrede åbne recursorer eksisterer, tillader angribere til at forvirre destinationens IP'er af de faktiske DDoS-mål fra operatørerne af de autoritative servere, hvis store registreringer de misbruger, "sagde Roland Dobbins, løsninger arkitekt i Security & Engineering Response Team hos DDoS-beskyttelsesleverandøren Arbor Networks, torsdag via email.

"Det er også vigtigt at bemærke, at implementeringen af ​​DNSSEC har gjort DNS-refleksions- / amplifikationsangreb ret lettere, da det mindste svar angriberen vil stimulere f eller enhver forespørgsel, han vælger, er mindst 1300 bytes, "siger Dobbins.

Selv om denne angrebsmetode har været kendt i årevis," DDoS-forstærkning bruges langt oftere nu og til ødelæggende effekt ", skrev Bryn Thompson fra HostExploit onsdag i et blogindlæg.

"Vi har set dette for nylig, og vi ser det stigende," sagde Neal Quinn, chef for DOS reduktionsleverandør Prolexic, torsdag via email.

"Denne teknik giver relativt små botnets til skabe store oversvømmelser mod deres mål, "sagde Quinn. "Problemet er alvorligt, fordi det skaber store mængder trafik, hvilket kan være svært at håndtere for mange netværk uden brug af en cloud mitigation provider."

Dobbins kunne ikke omgående dele data om den seneste frekvens af DNS-baserede DDoS-amplifikationsangreb, men bemærkede, at SNMP (Simple Network Management Protocol) og NTP (Network Time Protocol) refleksions- / forstærkningsangreb "kan også generere meget store overvældende angrebsstørrelser."

I sin rapport rangerede HostExploit de autonome systemer med det største antal åbne DNS-resolvere i deres IP-adresse rum. Den øverste, der styres af Terra Networks Chile, indeholder mere end 3.200 åbne resolvere i en pulje på omkring 1,3 millioner IP'er. Den anden, der styres af Telecomunicacoes de Santa Catarina (TELESC) - nu en del af Oi, Brasiliens største telecomoperatør - indeholder næsten 3.000 resolvere i et rum på 6,3 millioner IP-adresser.

"Det burde understreges Åben rekursiv navneservere er ikke et problem i sig selv; det er den mis-konfiguration af en navneserver, hvor det potentielle problem ligger, "siger HostExploit i sin rapport.