Porn Site Feud Spawns Uusi DNS-hyökkäys

Hyökkäys tunnetaan nimellä DNS Amplification. Sitä on käytetty satunnaisesti joulukuusta lähtien, mutta se alkoi puhua viime kuussa, kun ISPrime, pieni New Yorkin Internet-palveluntarjoaja, alkoi joutua kärsimään jyrkästi DDOS-hyökkäyksestä. Hyökkäys käynnisti pornografisen WWW-sivuston operaattori, joka yritti keskeyttää ISPrime-verkon isäntämän kilpailijan, yhtiön teknisen päällikön Phil Rosenthalin mukaan.

ISPrime-hyökkäys alkoi sunnuntaina aamulla, 18. tammikuuta. Se kesti noin päivällä, mutta huomattavaa oli se, että suhteellisen pieni määrä tietokoneita pystyi tuottamaan hyvin suurta liikennettä verkossa.

[Lue lisää: ja varmuuskopiointi]

Eräänä päivänä myöhemmin samanlainen hyökkäys kesti kolme päivää. Ennen kuin ISPrime pystyi suodattamaan ei-toivotun liikenteen, hyökkääjät pystyivät käyttämään noin 5 gigatavua sekunnissa yhtiön kaistanleveydestä,

Rosenthalin henkilökunta pystyi pienellä työllä suodattaa vihamielisen liikenteen, että "hyökkäys" on häiritsevä trendi palvelunestohyökkäysten hienostuneessa toiminnassa. "

SecureWorksin tietoturva-alan toimittajan tietoturva-asioista vastaavan Don Jacksonin mukaan voimme pian nähdä paljon enemmän näistä DNS-vahvistuksista hyökkäyksiä. Myöhemmin viime viikolla botnet-operaattorit, jotka vuokavat verkkojensa hakkeroidut tietokoneet korkeimmalle tarjoajalle, alkoivat lisätä mukautettuja DNS-laajennustyökaluja verkkoihinsa.

"Kaikki ovat ottaneet sen nyt käyttöön", hän sanoi. "Seuraavaksi iso DDOS jotain entisessä Neuvostoliitossa, näet tämän mainiten, olen varma."

Yksi niistä asioista, jotka tekevät DNS-vahvistuksen hyökkäyksestä erityisen hankalaksi, on se, että lähettämällä erittäin pieni paketti oikeutettu DNS-palvelin eli 17 tavua, hyökkääjä voi sitten huijata palvelinta lähettämään paljon suuremman paketin - noin 500 tavua --- hyökkäyksen uhriin. Hyökkääjä voi ohjata paketin lähdekoodin tietyn osan uhrin verkostosta.

Jackson arvioi, että 5 Gt / s ISPrime-hyökkäys saavutettiin vain 2 000 tietokoneella, jotka lähettävät väärennettyjä paketteja tuhansille laillisille nimipalvelimet, jotka kaikki alkoivat tunkeutua ISPrime-verkkoon.

Aiemmin tällä viikolla SecureWorks tuotti DNS Amplification -hyökkäyksen teknisen analyysin.

Hyökkäys synnyttää paljon keskustelua DNS-asiantuntijoiden kesken, Redwood Cityn Kaliforniassa toimiva DNS-OARC: n (Operations Analysis and Research Center) ohjelmapäällikkö Duane Wessels toteaa.

"Huoli on, että tällaista hyökkäystä voitaisiin käyttää korkeampiin tavoitteisiin" hän sanoi:

Yksi niistä asioista, jotka tekevät hyökkäyksestä erityisen ilkeän, on se, että on erittäin vaikeaa suojata.

"Tiedän, että ainoa todellinen puolustus sinulla on kysyä ylävirtaan tarjoajaltaan suodattaa [haitallista liikennettä ", hän sanoi. "Se ei ole uhrin itse tekemä, vaan se tarvitsee yhteistyötä toimittajan kanssa."

Internet-hakemistopalvelua tarjoava DNS-järjestelmä on tullut entistä tarkemmin viimeisen vuoden aikana, kun hakkeri Dan Kaminsky havaitsi vakavan puutteen järjestelmässä.

DNS-OARC on julkaissut joitain tietoja siitä, miten BIND DNS -palvelimia ei käytetä. DNS-OARC on julkaissut joitain tietoja siitä, miten BIND DNS -palvelimia ei käytetä yhdessä näistä hyökkäyksistä. Microsoft ei pystynyt välittömästi antamaan tietoja tämän tietyn hyökkäyksen vähentämisestä omiin tuotteisiinsa, mutta sen ohjeita turvallisten DNS-palvelimien käyttöönotosta löytyy täältä.