Zpráva: Otevření DNS resolvers stále zneužívá k zesílení útoků DDoS

V posledním vydání World Hosts Report, která pokrývá třetí čtvrtletí roku 2012, organizace obsahovala data o otevřených řešeních DNS a Autonomních systémech - velké bloky adres IP (Internet Protocol), které řídí provozovatelé sítí - kde jsou umístěny d.

To je proto, že podle HostExploit nesprávně nakonfigurované otevřené servery resolverů DNS, které mohou použít někdo k vyřešení názvů domén na adresy IP, jsou stále více zneužívány k zahájení silných útoků DDoS. odstranění škodlivého softwaru z počítače se systémem Windows]

Zesilovací útoky DNS se datují déle než 10 let a jsou založeny na skutečnosti, že drobné DNS dotazy mohou mít za následek výrazně větší odezvy DNS.

Útočník může odeslat nepoctivé požadavky na DNS velké množství otevřených řešení DNS a použití spoofingu, aby se zdálo, jako by tyto požadavky pocházely z cílové IP adresy. V důsledku toho řešitelé odešlou své velké odpovědi zpět na adresu IP oběti namísto adresy odesílatele.

Kromě toho, že tato metoda má zesílení, je pro oběti velmi obtížné zjistit původní zdroj útok a také znemožňuje, aby jména serverů vyšších v řetězci DNS, které jsou dotazovány zneužitými otevřenými řešiteli DNS, viděli adresu IP oběti.

"Skutečnost, že existuje mnoho z těchto nespravovaných otevřených recursorů, dovoluje útočníkům, aby zmást cílové adresy IP aktuálních cílů DDoS od operátorů autoritativních serverů, jejichž velké záznamy zneužívají, "řekl Roland Dobbins, architekt řešení v oddělení bezpečnosti a inženýrské reakce na dodavateli ochrany DDoS společnosti Arbor Networks, ve čtvrtek prostřednictvím e-mailu "

" Je také důležité poznamenat, že nasazení DNSSEC způsobilo, že útoky DNS reflection / amplification byly docela jednodušší, protože nejmenší reakce útočníka povzbudí f nebo jakýkoli dotaz, který si vybere, je nejméně 1300 bajtů, "říká Dobbins.

Ačkoli tato metoda útoku je známa již řadu let," zesílení DDoS se nyní používá mnohem častěji a má zničující efekt, "napsal Bryn Thompson z HostExploit ve středu v blogu.

"Viděli jsme to nedávno a vidíme, že se zvyšuje," uvedl Neal Quinn, hlavní provozní ředitel společnosti Prolexic pro zmírňování následků DDoS.

"Tato technika umožňuje relativně malým botnům způsobují velké záplavy směrem k jejich cíli, "řekl Quinn. "Problém je vážný, protože vytváří velké objemy provozu, které lze pro mnohé sítě obtížně spravovat bez použití poskytovatele zmírňujícího cloud."

Dobbins nemohl okamžitě sdílet data o aktuální frekvenci DNS DToS útoky zesílení, ale poznamenal, že SNMP (Simple Network Management Protocol) a NTP (síťový časový protokol) útoky reflexe / zesílení "mohou také generovat velmi velké, ohromující velikosti útoku."

Ve své zprávě HostExploit klasifikoval Autonomous Systems with největší počet otevřených řešení DNS v jejich prostorových adresách IP. Horní část, ovládaná společností Terra Networks Chile, obsahuje více než 3 200 otevřených řešičů v bazénu s přibližně 1,3 miliony IP. Druhý, řízený společností Telecomunicacoes de Santa Catarina (TELESC) - nyní součástí největšího operátora telekomunikace Brazílie - obsahuje téměř 3 000 resolverů v oblasti 6,3 milionu adres IP.

"Je třeba zdůraznit, že otevřené rekurzivní jmenné servery nejsou samy o sobě problémem; je to špatná konfigurace jména serveru, kde se vyskytuje potenciální problém, "říká HostExploit ve své zprávě.