Problemy z DNS związane z atakami DDoS są gorsze

Bezpieczeństwo w Internecie eksperci twierdzą, że źle skonfigurowane DSL i modemy kablowe pogarszają znany problem z DNS w Internecie (system nazw domen), ułatwiając hakerom rozpoczęcie rozproszonych ataków typu "odmowa usługi" (DDoS) na ich ofiary.

aby zestaw badań został wydany w ciągu najbliższych kilku dni, część problemu jest obwiniana na rosnącą liczbę urządzeń konsumenckich w Internecie, które są skonfigurowane do akceptowania zapytań DNS z dowolnego miejsca, co eksperci w dziedzinie sieci nazywają "otwartymi rekurencyjnymi" lub "otwartymi resolver ". Ponieważ coraz więcej klientów domaga się dostępu do szerokopasmowego Internetu, usługodawcy wdrażają modemy skonfigurowane w ten sposób dla swoich klientów, powiedział Cricket Liu, wiceprezes architektury Infoblox, firmy produkującej urządzenia DNS, która sponsorowała badania. "Dwoma głównymi winowajcami, których znaleźliśmy, byli Telefonica i France Telecom", powiedział.

W rzeczywistości odsetek systemów DNS w Internecie skonfigurowanych w ten sposób skoczył z około 50 procent w 2007 r., Prawie 80 procent to rok, według Liu.

[Czytaj dalej: Najlepsze pudełka NAS do strumieniowego przesyłania multimediów i kopii zapasowych]

Choć nie widział danych Infoblox, Georgia Tech Researcher David Dagon zgodził się, że otwarte systemy rekursywne rosną, częściowo z powodu "zwiększenia liczby urządzeń sieci domowej, które pozwalają na wiele komputerów w Internecie."

"Prawie wszyscy dostawcy usług internetowych dystrybuują domowe urządzenie DSL / kablowe", powiedział w wywiadzie e-mail. "Wiele urządzeń ma wbudowane serwery DNS, które czasami mogą być wysyłane w stanach" domyślnie otwarte ".

Ponieważ modemy skonfigurowane jako otwarte serwery rekurencyjne będą odpowiadać na zapytania DNS od kogokolwiek w Internecie, mogą być używane w co nazywa się atakiem amplifikacji DNS.

W tym ataku hakerzy wysyłają sfałszowane wiadomości kwerend DNS do serwera rekurencyjnego, podstępując do odpowiedzi na komputer ofiary. Jeśli źli ludzie wiedzą, co robią, mogą wysłać małą 50-bajtową wiadomość do systemu, który odpowie, wysyłając ofiarę aż 4 kilobajtów danych. Zapalając kilka serwerów DNS za pomocą tych fałszywych zapytań, napastnicy mogą przytłoczyć ofiary i skutecznie je odciąć.

Specjaliści DNS od lat wiedzą o otwartym procesie rekurencyjnej konfiguracji, więc zaskakujące jest to, że liczby te podskakują.

Jednakże, według Dagona, ważniejszą kwestią jest fakt, że wiele z tych urządzeń nie zawiera łat na szeroko nagłośnioną lukę DNS odkrytą przez badacza Dana Kaminsky'ego w zeszłym roku. Tę lukę można wykorzystać do oszukiwania właścicieli tych urządzeń do korzystania z serwerów internetowych kontrolowanych przez hakerów, nie zdając sobie nawet sprawy, że zostali oszukani.

Infoblox szacuje, że 10% otwartych serwerów rekursywnych w Internecie nie zostało załatanych.

Ankieta Infoblox została przeprowadzona przez The Measurement Factory, która pobiera dane przez skanowanie około 5 procent adresów IP w Internecie. Dane zostaną opublikowane tutaj w ciągu najbliższych kilku dni.

Według prezesa fabryki pomiarowej Duane'a Wesselsa, ataki wzmocnienia DNS występują, ale nie są najczęstszą formą ataku DDoS. "Ci z nas, którzy je śledzą i zdają sobie z tego sprawę, są nieco zaskoczeni, że nie widzimy więcej ataków wykorzystujących otwarte rozwiązania" - powiedział. "To rodzaj zagadki."

Wessels uważa, że ​​przejście w kierunku standardu IPv6 następnej generacji może nieumyślnie przyczynić się do tego problemu. Niektóre modemy są skonfigurowane do używania oprogramowania serwera DNS o nazwie Trick lub Tread Daemon (TOTd) - które konwertuje adresy między formatami IPv4 i IPv6. Często oprogramowanie to jest skonfigurowane jako otwarty przelicznik, powiedział Wessels.