Report: Open DNS resolvers coraz częściej wykorzystywany do wzmacniania ataków DDoS

Rozproszone otwarte i błędnie skonfigurowane DNS (Domain Name System) są coraz częściej wykorzystywane do wzmacniania dystrybucji ataki typu "odmowa usługi" (DDoS), według raportu opublikowanego w środę przez HostExploit, organizację, która śledzi hosty internetowe zaangażowane w działania cyberprzestępcze.

W najnowszej edycji swojego World Hosts Report, która obejmuje trzeci kwartał 2012 r. organizacja zawierała dane na temat otwartych usług rozpoznawania nazw DNS i systemów autonomicznych - duże bloki adresów protokołu internetowego (IP) kontrolowane przez operatorów sieci - gdzie są zlokalizowane d.

To dlatego, że według HostExploit, niepoprawnie skonfigurowane translatory otwartych serwerów DNS, które mogą być używane przez dowolnych użytkowników do rozpoznawania nazw domen na adresy IP, są coraz częściej nadużywane do uruchamiania potężnych ataków DDoS.

[Czytaj dalej: Jak w celu usunięcia złośliwego oprogramowania z komputera z systemem Windows]

Ataki polegające na wzmocnieniu DNS sięgają ponad 10 lat i opierają się na fakcie, że małe zapytania DNS mogą skutkować znacznie większymi odpowiedziami DNS.

Osoba atakująca może wysyłać fałszywe żądania DNS do duża liczba otwartych procedur rozpoznawania nazw DNS i używanie podszywania się, aby wyglądało na to, że te żądania pochodzą z adresu IP celu. W rezultacie, tłumacze wyślą swoje duże odpowiedzi z powrotem na adres IP ofiary zamiast adresu nadawcy.

Oprócz efektu wzmocnienia, technika ta bardzo utrudnia ofierze określenie pierwotnego źródła atak, a także uniemożliwia serwerom nazw znajdującym się wyżej w łańcuchu DNS, które są sprawdzane przez nadużyte otwarte procedury rozpoznawania nazw DNS, aby zobaczyć adres IP ofiary.

"Fakt, że istnieje tak wiele niezarządzanych otwartych rekursorów, pozwala osoby atakujące w celu zaciemnienia docelowego adresu IP rzeczywistych celów DDoS od operatorów serwerów autorytatywnych, których duże rekordy są nadużywane "- powiedział Roland Dobbins, architekt rozwiązań w zespole ds. bezpieczeństwa i inżynierii w firmie Arbor Networks, dostawcy ochrony DDoS, w czwartek za pośrednictwem poczty elektronicznej.

"Ważne jest również, aby pamiętać, że wdrożenie DNSSEC sprawiło, że ataki polegające na odbiciu / wzmocnieniu DNS były nieco łatwiejsze, ponieważ najmniejsza reakcja atakującego będzie stymulować f lub dowolne zapytanie, które wybierze, wynosi co najmniej 1300 bajtów "- powiedział Dobbins.

Mimo że ta metoda ataku była znana od lat," wzmocnienie DDoS jest teraz używane dużo częściej i ma niszczycielski efekt "- napisała Bryn Thompson z HostExploit w środę. w poście na blogu

"Widzieliśmy to niedawno i widzimy, że to się zwiększa", powiedział Neal Quinn, dyrektor ds. operacyjnych dostawcy łagodzących zmiany DDoS Prolexic, za pośrednictwem poczty elektronicznej.

"Technika ta pozwala stosunkowo małym botnetom na tworzyć duże powodzie w kierunku ich celu "- powiedział Quinn. "Problem jest poważny, ponieważ powoduje duże natężenie ruchu, co może być trudne w zarządzaniu w wielu sieciach bez korzystania z dostawcy ograniczającego chmurę."

Dobbins nie mógł natychmiast udostępnić żadnych danych na temat ostatniej częstotliwości opartej na DNS Wzmocnienia DDoS, ale zauważyły, że ataki "odbicia / wzmocnienia" SNMP (Simple Network Management Protocol) i NTP (Network Time Protocol) "mogą również generować bardzo duże, przytłaczające rozmiary ataków."

W swoim raporcie HostExploit ocenił Systemy Autonomiczne z największą liczbę otwartych rozpoznawania nazw DNS w ich przestrzeniach adresów IP. Pierwsza z nich, kontrolowana przez Terra Networks Chile, zawiera ponad 3200 otwartych procesorów w puli około 1,3 miliona adresów IP. Drugi, kontrolowany przez Telecomunicacoes de Santa Catarina (TELESC) - ostatnia część Oi, największego brazylijskiego operatora telekomunikacyjnego - zawiera prawie 3 000 przeliczników na przestrzeni 6,3 milionów adresów IP.

"Należy podkreślić, że otwarte rekurencyjne serwery nazw nie stanowią problemu same w sobie; jest to błędna konfiguracja serwera nazw, w którym leży potencjalny problem ", powiedział HostExploit w swoim raporcie.