Porn Feud atakuje nowy atak DNS

Złom między dwiema pornograficznymi stronami internetowymi stał się nieprzyjemny, gdy ktoś wymyślił, jak zlikwidować inne, wykorzystując wcześniej nieznane dziwactwo w systemie nazw domenowych DNS (DNS).

Atak nazywany jest amplifikacją DNS. Używano go sporadycznie od grudnia, ale zaczęto mówić o ostatnim miesiącu, kiedy ISPrime, mały dostawca usług internetowych w Nowym Jorku, zaczął mocno uderzać w to, co nazywa się atakiem DDoS (Distributed Denial of Service). Atak został zainicjowany przez operatora pornograficznej witryny internetowej, która próbowała zamknąć konkurenta hostowanego w sieci ISPrime, zgodnie z Phil Rosenthal, głównym urzędnikiem ds. Technologii w firmie.

Atak na ISPrime rozpoczął się rankiem w niedzielę 18 stycznia. Trwało to około jednego dnia, ale niezwykłe było to, że stosunkowo niewielka liczba komputerów była w stanie wygenerować bardzo duży ruch w sieci.

[Więcej informacji: Najlepsze pudełka NAS do strumieniowego przesyłania multimediów i backup)

Pewnego dnia nastąpił podobny atak trwający trzy dni. Zanim ISPrime był w stanie odfiltrować niepożądany ruch, napastnicy mogli wykorzystać przepustowość około 5 GB na sekundę,

Przy odrobinie pracy personel Rosenthala był w stanie odfiltrować wrogi ruch, ale w e-mailu wywiady mailowe powiedział, że atak "reprezentuje niepokojący trend w wyrafinowaniu ataków typu" odmowa usługi ".

Według Dona Jacksona, dyrektora ds. analizy zagrożeń w firmie SecureWorks zajmującej się bezpieczeństwem, możemy wkrótce zobaczyć znacznie więcej takich wzmacniaczy DNS. ataki. Pod koniec ubiegłego tygodnia operatorzy botnetów, którzy wynajmują swoje sieci zaatakowanych komputerów na najwyższą stawkę, zaczęli dodawać niestandardowe narzędzia do wzmacniania DNS w swoich sieciach.

"Wszyscy go teraz wybierali," powiedział. "Następny duży DDOS w jakiejś byłej republice sowieckiej, zobaczysz to, o czym wspomniałem, jestem pewien."

Jedną z rzeczy, która sprawia, że ​​atak wzmocnienia DNS jest szczególnie nieprzyjemny jest fakt, że wysyłając bardzo mały pakiet do legalny serwer DNS, powiedzmy 17 bajtów, atakujący może następnie oszukać serwer wysyłając znacznie większy pakiet - około 500 bajtów --- do ofiary ataku. Podszywając źródło pakietu, atakujący może skierować go do określonych części sieci jego ofiary.

Jackson szacuje, że atak na ISPrime 5GB / sekundę został osiągnięty przy pomocy tylko 2000 komputerów, które wysłały sfałszowane pakiety do tysięcy legalnych serwery nazw, z których wszystkie zaczęły zalewać sieć ISPrime. Rosenthal z ISPrime mówi, że w ataku na jego sieć użyto około 750 000 legalnych serwerów DNS.

Wcześniej w tym tygodniu SecureWorks przygotował techniczną analizę ataku DNS Amplification.

Atak wywołuje wiele dyskusji wśród ekspertów DNS, według Duane'a Wesselsa, menedżera programu z DNS-OARC (Centrum Analiz i Analiz Operacyjnych) z Redwood City w Kalifornii.

"Martwi się, że ten rodzaj ataku może zostać użyty w bardziej znanych celach", Powiedział.

Jedną z rzeczy, która sprawia, że ​​atak jest szczególnie nieprzyjemny, jest to, że bardzo trudno jest go chronić.

"O ile mi wiadomo, jedyną prawdziwą obroną, którą masz, jest poprosić swojego dostawcę usług o filtrowanie [złośliwy ruch] ", powiedział. "To nie jest coś, co ofiara może zrobić sama. Potrzebują współpracy z dostawcą."

System DNS, rodzaj usługi pomocy katalogowej dla Internetu, został poddany dokładniejszej analizie w ciągu ostatniego roku, kiedy haker Dan Kaminsky odkrył poważną wadę systemu. Ta usterka, która została naprawiona przez twórców oprogramowania DNS, może zostać wykorzystana do cichego przekierowania ruchu internetowego na złośliwe komputery bez wiedzy ofiary.

DNS-OARC opublikował pewne informacje o tym, jak zapobiegać używaniu serwerów DNS BIND w jednym z tych ataków. Firma Microsoft nie była w stanie natychmiast przekazać informacji o tym, jak złagodzić ten konkretny atak na swoich produktach, ale jej wskazówki dotyczące wdrażania bezpiecznych serwerów DNS można znaleźć tutaj.