Jelentés: A DNS-feloldók megnyitása egyre inkább visszaéltek a DDoS-támadások erősítéséhez

A nyílt és rosszul konfigurált DNS (Domain Name System) felbontók egyre inkább használatosak az elosztott a DDoS-támadások szerint a HostExploit, a számítógépes bűnözéssel foglalkozó internetes állomásokat nyomon követő szervezet szerint szerzett beszámoló szerint

A 2012-es harmadik negyedévre vonatkozó,, a szervezet tartalmazott adatokat a nyílt DNS-feloldókról és az Autonomous Systems-nagyszámú Internet Protocol (IP) címről, melyeket a hálózati szolgáltatók vezéreltek - hol találhatók d.

Ez azért van, mert a HostExploit szerint a DNS-címek IP-címekhez való rendezéséhez használhatatlanul rosszul konfigurált DNS-megoldó-kiszolgálókat használnak, egyre inkább visszaélnek erőteljes DDoS támadások elindításához. a rosszindulatú programok eltávolítása a Windows PC-ről]

A DNS-amplifikációs támadások több mint tíz éve származnak, és azon a tényen alapulnak, hogy a kis DNS-lekérdezések jelentősen nagyobb DNS-válaszokat eredményezhetnek.

nagy számú nyílt DNS resolver és a spoofing használatával úgy tűnik, mintha ezek a kérelmek származnának a cél IP-címéből. Ennek eredményeképpen a felbontók nagy válaszokat küldenek az áldozat IP-címére a feladó címe helyett.

Az amplifikációs hatás mellett ez a technika nagyon keményen megnehezíti az áldozat számára, hogy meghatározza az eredeti forrás a DNS-lánc feletti DNS-lánc feletti DNS-kiszolgálók számára, amelyeket a visszaélésszerű nyílt DNS-felbontók kérnek az áldozat IP-címének megkeresésére.

"Az a tény, hogy ezek közül a kezeletlen nyílt rekurzusok közül sok létezik, hogy a tényleges DDoS célpontok cél-IP-címét zavarja a hiteles kiszolgálók üzemeltetőitől, akiknek nagy rekordjaikat visszaélik "- mondta Roland Dobbins, az Arbor Networks DDoS védelmi szállítójának Security & Engineering Response Team csapatának építészmérnöke..

"Fontos megjegyezni, hogy a DNSSEC telepítése meglehetősen könnyebbé tette a DNS reflexiós / erősítő támadásait, hiszen a legkisebb válasz a támadó vagy bármilyen lekérdezés, amelyet legalább 1300 bájt választ ki "- mondta Dobbins.

Bár ez a támadási módszer már évek óta ismertté vált," a DDoS erősítést sokkal gyakrabban használják fel, és pusztító hatása van "- írta Bryn Thompson a HostExploit szerdán egy blogbejegyzésben.

"A közelmúltban láttuk, és úgy látjuk, hogy növekszik", mondta Neal Quinn, a DDoS mérséklő gyártó Prolexic vezérigazgatója. E technika lehetővé teszi a viszonylag kis botnetek használatát. nagy árvizet teremtenek a céljuk felé "- mondta Quinn. "A probléma komoly, mert nagy mennyiségű forgalmat generál, ami sok hálózat számára nehezen kezelhető anélkül, hogy felhőcsökkentő szolgáltató lenne."

A Dobbins nem tudta azonnal megosztani a DNS-alapú DDoS erősítő támadásokat, de megjegyezte, hogy az SNMP (Simple Network Management Protocol) és az NTP (Network Time Protocol) visszaverő / erősítő támadások "nagyon nagy, túlnyomó támadási méreteket is eredményezhetnek."

A jelentésében a HostExploit az autonóm rendszereket a legnagyobb számú nyílt DNS resolver az IP-címükben. A legnépszerűbb, a Terra Networks Chile irányítása alatt több mint 3200 nyitott felbontókészülék található a mintegy 1.3 millió IP-n lévő poolban. A második, amelyet a Telecomunicacoes de Santa Catarina (TELESC) - az Oi, Brazília legnagyobb telekommunikációs szolgáltatója - Telekommunikacies de Santa Catarina (TELESC) irányítása alatt közel 3000 replikátorral rendelkezik, 6,3 millió IP-címmel.

"Hangsúlyozni kell, hogy a nyílt rekurzív névkiszolgálók önmagukban nem jelentenek problémát; ez egy névkiszolgáló hibás konfigurációja, ahol a lehetséges probléma áll, "jelentette a HostExploit a jelentésében.