Laporan: Buka penyelesaian resolusi DNS yang semakin disalahgunakan untuk menguatkan serangan DDoS

Penyelesaian resolusi terbuka dan misconfigured DNS (Domain Name System) semakin banyak digunakan untuk menguatkan diedarkan serangan ke atas perkhidmatan (DDoS), menurut laporan yang dikeluarkan Rabu oleh HostExploit, sebuah organisasi yang menjejaki tuan rumah Internet yang terlibat dalam kegiatan jenayah siber.

Dalam edisi terbaru Laporan Host Dunia yang merangkumi suku ketiga 2012, organisasi itu termasuk data mengenai pemecah DNS terbuka dan Sistem Autonomi - blok besar alamat Internet Protocol (IP) yang dikawal oleh pengendali rangkaian-tempat mereka mencari d.

Itu kerana, menurut HostExploit, salah satu pelayan resolver-DNS yang dikonfigurasikan yang salah yang boleh digunakan oleh sesiapa untuk menyelesaikan nama domain ke alamat IP-semakin disalahgunakan untuk melancarkan serangan DDoS yang kuat.

[Bacaan lanjut: Bagaimana untuk menghapuskan perisian hasad dari PC Windows Anda]

Serangan penguatkan DNS telah berlaku sejak lebih dari 10 tahun dan berdasarkan fakta bahawa pertanyaan DNS kecil boleh menyebabkan respons DNS yang lebih besar.

Penyerang boleh menghantar permintaan DNS penyangak kepada bilangan penyelesai DNS terbuka dan menggunakan spoofing untuk menjadikannya muncul seolah-olah permintaan itu berasal dari alamat IP sasaran. Hasilnya, penyelesai akan menghantar jawapan yang besar kepada alamat IP mangsa dan bukannya alamat penghantar.

Selain mempunyai kesan penguatan, teknik ini menjadikannya sangat sukar bagi mangsa untuk menentukan sumber asal serangan dan juga menjadikannya tidak mungkin bagi pelayan nama yang lebih tinggi di rantai DNS yang dipersoalkan oleh pemecah DNS terbuka yang disalahgunakan untuk melihat alamat IP mangsa.

"Fakta bahawa begitu banyak rekursor terbuka yang tidak diurus ini membenarkan penyerang untuk menghalang sasaran IP dari sasaran DDoS yang sebenarnya dari pengendali pelayan yang berwibawa yang rekod besar mereka menyalahgunakan, "kata Roland Dobbins, arkitek penyelesaian dalam Pasukan Respon Keselamatan & Kejuruteraan di penjual perlindungan DDoS Arbor Networks, Khamis melalui e-mel.

"Ia juga penting untuk diperhatikan bahawa penggunaan DNSSEC telah membuat serangan refleksi / penguat DNS agak mudah, sebagai tindak balas yang paling kecil penyerang akan merangsang f atau apa-apa pertanyaan yang dia pilih sekurang-kurangnya 1300 bait, "kata Dobbins.

Walaupun kaedah serangan ini diketahui selama bertahun-tahun," penguatan DDoS digunakan jauh lebih kerap sekarang dan untuk kesan yang menghancurkan, "kata Bryn Thompson dari HostExploit dalam sebuah catatan blog.

"Kami telah melihat ini baru-baru ini dan kami melihatnya semakin meningkat," kata Neal Quinn, ketua pegawai operasi vendor mitigasi DDoS Prolexic. mewujudkan banjir besar ke arah sasaran mereka, "kata Quinn. "Masalahnya serius kerana ia menghasilkan jumlah lalu lintas yang besar, yang boleh menjadi sulit untuk dikendalikan untuk banyak rangkaian tanpa menggunakan pembawa mitigasi awan."

Dobbins tidak dapat dengan segera berkongsi data mengenai kekerapan DNS baru-baru ini Serangan penguatan DDoS, tetapi mencatatkan bahawa SNMP (Protokol Pengurusan Rangkaian Mudah) dan serangan refleksi / amplifikasi NTP (Protokol Masa Rangkaian) "juga boleh menjana saiz serangan yang sangat besar dan besar."

Dalam laporannya, HostExploit menduduki Sistem Autonomi dengan bilangan penyelesai DNS terbuka terbesar di ruang alamat IP mereka. Yang teratas, yang dikuasai oleh Terra Networks Chile, mengandungi lebih daripada 3,200 pemecah terbuka di sekelompok 1.3 juta IP. Yang kedua, yang dikuasai oleh Telecomunicacoes de Santa Catarina (TELESC) - kini sebahagian dari Oi, pengendali telekom terbesar di Brazil-mengandungi hampir 3,000 penyusun dalam ruang 6.3 juta alamat IP

"Ia harus menekankan pelayan nama recursive terbuka tidak menjadi masalah dalam diri mereka sendiri; ia adalah konfigurasi salah bagi nama pelayan di mana masalah yang berpotensi berlaku, "kata HostExploit dalam laporannya.