DNS-problem knyttet til DDoS-angrep blir verre

Ifølge til forskning satt til å bli utgitt i løpet av de neste dagene, er en del av problemet skyld i det økende antall forbrukerenheter på Internett som er konfigurert til å akseptere DNS-spørringer hvor som helst, hvilke nettverkseksperter kaller en "åpen rekursiv" eller "åpen" resolver "-system. Etter hvert som flere forbrukere krever bredbåndsinternet, ruller tjenesteleverandører ut modemene som er konfigurert på denne måten til kundene sine, sa Cricket Liu, visepresident for arkitektur med Infoblox, DNS-apparatfirmaet som sponset forskningen. "De to ledende synderne vi fant var Telefonica og France Telecom," sa han.

Faktisk er prosentandelen av DNS-systemer på Internett som er konfigurert på denne måten, hoppet fra rundt 50 prosent i 2007 til nesten 80 prosent dette år, ifølge Liu.

[Videre lesing: Best NAS-bokser for media streaming og backup]

Selv om han ikke har sett Infoblox-dataene, kom Georgia Techforsker David Dagon til enighet om at åpne rekursive systemer er på vei oppover, delvis på grunn av "økningen i hjemmenettverk som tillater flere datamaskiner på Internett." "

" Nesten alle Internett-leverandører distribuerer et DSL / kabel-enhet, "sa han i et e-postintervju. "Mange av enhetene har innebygde DNS-servere. Disse kan noen ganger sendes i" åpne standardstandarder ".

Fordi modemer konfigurert som åpne rekursive servere, svarer DNS-spørringer fra alle på Internett, de kan brukes i det som kalles et DNS-amplifikasjonsangrep.

I dette angrepet sender hackere spoofed DNS-spørringsmeldinger til den rekursive serveren og lurer den på å svare på et offers datamaskin. Hvis de dårlige vet hva de gjør, kan de sende en liten 50 byte melding til et system som vil svare ved å sende offeret så mye som 4 kilobytes data.

DNS-eksperter har kjent om det åpne rekursive konfigureringsproblemet i mange år, så det er overraskende at tallene hopper opp.

Ved å hindre flere DNS-servere med disse forfalskede spørringene, kan angriperne overvelde sine ofre og effektivt slå dem offline. Men ifølge Dagon er et viktigere problem at mange av disse enhetene ikke inkluderer patcher for en allment publisert DNS-feil som ble oppdaget av forsker Dan Kaminsky i fjor. Denne feilen kan brukes til å lure eierne av disse enhetene til å bruke Internett-servere som er kontrollert av hackere uten å være klar over at de har blitt dupt.

Infoblox anslår at 10 prosent av de åpne rekursive serverne på Internett ikke er blitt oppdatert.

Infoblox-undersøkelsen ble utført av The Measurement Factory, som får sine data ved å skanne omtrent 5 prosent av IP-adressene på Internett. Dataene vil bli lagt ut her i løpet av de neste dagene.

Ifølge Measurement Factory President Duane Wessels forekommer DNS-amplifikasjonsangrep, men de er ikke den vanligste formen for DDoS-angrep. "De av oss som sporer disse og er klar over det pleier å være litt overrasket over at vi ikke ser flere angrep som bruker åpne resolvere," sa han. "Det er litt av et puslespill."

Wessels mener at flyttingen mot neste generasjons IPv6-standard kan være utilsiktet med å bidra til problemet. Noen av modemene er konfigurert til å bruke DNS-serverprogramvare kalt Trick or Tread Daemon (TOTd) - som konverterer adresser mellom IPv4 og IPv6-formater. Ofte er denne programvaren konfigurert som en åpen resolver, sier Wessels.