Pornó oldal gyilkosság új DNS támadás

A támadás DNS-amplifikáció néven ismert. Ezt csak ritkán használták december óta, de a múlt hónapban kezdtek beszélni arról, amikor az ISPrime, egy kis New York-i internetes szolgáltató elkezdett keményen eltalálni az elosztott denial of service (DDOS) támadással. A támadást egy pornográf weboldal üzemeltetője indította el, aki az ISPrime hálózatán otthont adó versenyzőt próbálta leállítani, a Philip Rosenthal, a vállalat technológiai vezetője szerint.

Az ISPrime támadása vasárnap reggelén kezdődött, Január 18. Egy napig tartott, de figyelemre méltó volt, hogy viszonylag kis számú számítógép képes nagyon nagy mennyiségű forgalmat generálni a hálózaton.

[További olvasmány: A legjobb NAS-dobozok a média-közvetítéshez és backup]

Egy nappal később egy hasonló támadás következett, amely három napig tartott. Mielőtt az ISPrime képes volt kiszűrni a nem kívánt forgalmat, a támadók a cég sávszélességének körülbelül 5GB / másodpercét használhatják,

Egy kis munkával a Rosenthal személyzete kiszűrte az ellenséges forgalmat, de egy e- mail interjúban azt mondta, hogy a támadás "zavaró tendenciát jelent a szolgáltatásmegtagadási támadások kifinomultságában".

Don Jackson, a SecurityWorks biztonsági gyártójának fenyegetett hírszerzés igazgatója szerint hamarosan sokkal több ilyen DNS-amplifikáció támadásokat. A múlt heti múlt héten a botnet-szolgáltatók, akik a feltört számítógépek hálózatát bérlik a legmagasabb ajánlattevőknek, elkezdték az egyedi DNS-bővítési eszközök hozzáadását hálózataikba.

"Mostanra mindenki felvette. "A következő nagy DDOS egy volt szovjet köztársaságon, látni fogod ezt az említettet, biztos vagyok benne."

Az egyik dolog, ami DNS-erősítő támadást különösen csúnya, az az a tény, hogy egy nagyon kis csomagot küld egy legitim DNS-kiszolgáló, mondjuk 17 bájt, a támadó akkor trükkje meg a kiszolgálót, hogy egy sokkal nagyobb csomagot küldjön - kb. 500 bájt --- a támadás áldozatához. A támadó a csomag forrásának megcsonkításával irányíthatja az áldozat hálózatának bizonyos részeiben.

Jackson szerint az ISPrime elleni 5 GB / másodperces támadás csak 2000 számítógéppel érhető el, amelyek a hamisított csomagokat több ezer törvényes névszerverek, amelyek mindegyike elkezdte elárasztani az ISPrime hálózatot. Az ISPrime Rosenthal szerint körülbelül 750 000 legitim DNS-kiszolgálót használtak a hálózatán.

A hét elején a SecureWorks technikai elemzést készített a DNS-amplifikáció támadásáról.

A támadás sok vitát vált ki a DNS-szakértők körében szerint a kaliforniai Redwood City-ben székelő DNS-OARC (Operations Analysis and Research Center) programmenedzser szerint

"Az aggodalom az, hogy ez a fajta támadás több, nagy horderejű célponton is használható", mondta Duane Wessels, azt mondta:

Az egyik dolog, ami miatt a támadás különösen csúnya, hogy nagyon nehéz védeni.

"Amennyire én tudom, az egyetlen igazi védelem van, hogy kérje a upstream szolgáltató szűrni [a rosszindulatú forgalom], "mondta. "Nem az az áldozat, amit az áldozat önmagában végezhet, és a szolgáltatótól kell együttműködniük."

A DNS rendszer, amely az internethez hasonló könyvtámogatási szolgálat, az elmúlt évben alaposabban vizsgálódott, amikor a hacker Dan Kaminsky súlyos hibát fedezett fel a rendszerben. Ez a hiba, melyet a DNS szoftver készítői már korrigáltak, kihasználható az internetes forgalom rosszindulatú számítógépeknek az áldozat tudta nélkül történő átirányítására.

A DNS-OARC közzétett néhány információt arról, hogyan lehet megakadályozni a BIND DNS szerverek használatát az egyik ilyen támadásban. A Microsoft nem tudott azonnal tájékoztatást adni arról, hogy miként mérsékelheti ezt a támadást saját termékeire, de a biztonságos DNS-kiszolgálók telepítésével kapcsolatos útmutatás itt található.