Raportti: Avaa DNS-resolverit käyttävät yhä enemmän väärentämään DDoS-hyökkäyksiä

Avaa ja väärin määritettyjä DNS (Domain Name System) -resolverteja käytetään yhä enemmän hajautettujen (DDoS) hyökkäyksistä, joka julkaistiin keskiviikkona HostExploitin, joka seuraa tietokonerikollisuuteen osallistuvia Internet-isäntiä.

World Hosts -raporttinsa viimeisimmässä numerossa, joka kattaa vuoden 2012 kolmannen vuosineljänneksen, organisaatio sisälsi tietoja avoimista DNS-resolvereista ja Autonomous Systems-suurista Internet-protokollan (IP) osoitteista, jotka ovat verkko-operaattoreiden valvonnassa - missä ne sijaitsevat d.

Tämä johtuu siitä, että HostExploitin mukaan väärät konfiguroidut avoimet DNS-resolverit-palvelimet, joita kuka tahansa voi käyttää ratkaisemaan verkkotunnuksia IP-osoitteisiin, on yhä enemmän väärin käynnistämään tehokkaita DDoS-hyökkäyksiä.

[Lue lisää: poista haittaohjelmat Windows-tietokoneelta]

DNS-vahvistimen hyökkäykset ovat yli 10 vuotta vanhoja ja perustuvat siihen, että pienet DNS-kyselyt voivat aiheuttaa huomattavasti suurempia DNS-vastauksia.

Hyökkääjä voi lähettää väärennettyjä DNS-pyyntöjä suuri määrä avoimia DNS-resolverteja ja käyttää huijausta, jotta se näyttäisi ikään kuin nämä pyynnöt olisi peräisin kohteen IP-osoitteesta. Tuloksena resolverit lähettävät suuret vastauksensa takaisin uhrin IP-osoitteeseen lähettäjän osoitteen sijaan.

Sen lisäksi, että sillä on monistusvaikutus, tämä tekniikka tekee uhrin erittäin vaikeaksi määrittää alkuperäisen lähteen hyökkää ja tekee myös mahdottomaksi DNS-ketjun korkeammat nimipalvelimet, joita väärinkäytetyt avoimet DNS-resolverit kyselevät uhrin IP-osoitteen perusteella.

"Se, että niin monilla näistä hallitsemattomista avoimista rekursiiveistä on olemassa, hyökkääjät hämärtävät todellisten DDoS-kohteiden määränpään IP-osoitteet sellaisten arvovaltaisten palvelimien operaattoreilta, joiden suuret tietueet he käyttävät väärin ", sanoo Roland Dobbins, tietoturva- ja tuotekehitysjoukon ratkaisuarkkitehti DDoS-suojausyhtiössä Arbor Networks, torstai sähköpostitse.

"On myös tärkeää huomata, että DNSSEC: n käyttöönotto on tehnyt DNS-heijastus- / vahvistuskohtauksia melko helpoksi, koska pienin vastaus hyökkääjä stimuloi f tai mikä tahansa kysely, jonka hän valitsee, on vähintään 1300 tavua ", Dobbins sanoi.

Vaikka tämä hyökkäysmenetelmä on ollut tiedossa jo vuosien ajan," DDoS-vahvistusta käytetään paljon useammin nyt ja tuhoisaa vaikutusta ", Bryn Thompson of HostExploit kirjoitti keskiviikkona

"Olemme nähneet tämän äskettäin ja näemme sen kasvavan," DDoS: n lieventämisvalmistajan Prolexicin päätoimittaja Neal Quinn sanoi torstaina sähköpostitse.

"Tämä tekniikka mahdollistaa suhteellisen pienet botnetit luoda suuria tulvia kohti heidän tavoitettaan ", Quinn sanoi. "Tämä ongelma on vakava, koska se luo suuria määriä liikennettä, jota voi olla vaikea hallita monissa verkoissa ilman pilvimääräntorjuntatoimia."

Dobbins ei voinut välittömästi jakaa mitään tietoja DNS-pohjaisten DDoS-monistushyökkäykset, mutta huomauttivat, että SNMP (Simple Network Management Protocol) ja NTP (Network Time Protocol) -heijastus- / vahvistuskohtaus "voivat myös tuottaa hyvin suuria, ylivoimaisia ​​hyökkäyskoodeja."

HostExploit suurin määrä avoimia DNS-resolverteja niiden IP-osoitteiden tiloissa. Terra Networks Chilen hallitsema alkuun kuuluu yli 3 200 avointa resolveria noin 1,3 miljoonalla IP-osoitteella. Toinen, Telecomunicacoes de Santa Catarinan (TELESC) - osuuden Oi, Brasilian suurimman teleoperaattorin hallussa, sisältää lähes 3 000 resolveria 6,3 miljoonalla IP-osoitteella.

"On korostettava, että avoimet rekursiiviset nimipalvelimet eivät ole itsessään ongelma; se on nimipalvelimen virheellinen kokoonpano, jossa potentiaalinen ongelma ilmenee ", HostExploit sanoi raportissaan.