Porn Site Feud sprer nytt DNS-angrep

Et skrap mellom to pornografiske nettsteder ble ubehagelig da man fant ut hvordan man tok den andre ned ved å utnytte en tidligere ukjent quirk i DNS-DNS-navnet.

Angrepet kalles DNS-forsterkning. Det har blitt brukt sporadisk siden desember, men det begynte å bli snakket om forrige måned da ISPrime, en liten leverandør av Internett-tjenester i New York, begynte å bli hardt rammet av det som kalles DDOS-angrep. Angrepet ble lansert av operatøren av et pornografisk nettsted som forsøkte å slå ned en konkurrent, som var vert for ISPrime's nettverk, ifølge Phil Rosenthal, selskapets sjefsteknolog.

Angrepet på ISPrime startet om morgenen søndag, Den 18. januar. Det var en dag, men det var bemerkelsesverdig at et relativt lite antall PCer kunne generere en stor trafikk på nettverket. og backup]

En dag senere fulgte et lignende angrep, som varer tre dager. Før ISPrime klarte å filtrere den uønskede trafikken, kunne angriperne bruke opptil 5 GB / sekund av selskapets båndbredde,

Med litt arbeid kunne Rosenthals ansatte filtrere ut den fiendtlige trafikken, men i en e- postintervju sa han at angrepet "representerer en forstyrrende trend i sofistikert avkall på serviceangrep." Ifølge Don Jackson, direktør for hot intelligence hos sikkerhetsleverandøren SecureWorks, kan vi snart se mye mer av disse DNS-forsterkningene angrep. Senere i fjor begynte botnetoperatørene, som leier ut sine nettverk av hackede datamaskiner til høyeste budgiver, å legge til tilpassede DNS-forsterkningsverktøy til sine nettverk.

"Alle har plukket opp det nå," sa han. "Den neste store DDOS på noen tidligere sovjetrepublikk, du vil se dette nevnt, er jeg sikker på."

En av de tingene som gjør et DNS-amplifikasjonsangrep spesielt ubehagelig, er at ved å sende en veldig liten pakke til en legitim DNS-server, sier 17 byte, kan angriperen da lure serveren til å sende en mye større pakke - omtrent 500 bytes --- til offeret for angrepet. Ved å spoofing kilden til pakken kan angriperen lede den til bestemte deler av sitt offers nettverk. Jackson estimerer at 5GB / sekund angrep mot ISPrime ble oppnådd med bare 2000 datamaskiner, som sendte ut spoofede pakker til tusenvis av legitime navneservere, som alle begynte å oversvømme ISPrime-nettverket. ISPrime's Rosenthal sier at rundt 750 000 legitime DNS-servere ble brukt i angrepet på nettverket.

SecureWorks produserte en teknisk analyse av DNS Amplification-angrepet tidligere i uken.

Angrepet genererer mye diskusjon blant DNS-eksperter, ifølge Duane Wessels, programleder med DNS-OARC (Operations Analysis and Research Center), basert i Redwood City, California.

"Bekymringen er at denne typen angrep kan brukes på mer høyprofilerte mål" Han sa.

En av de tingene som gjør angrepet spesielt ubehagelig, er at det er veldig vanskelig å beskytte mot.

"Så vidt jeg vet, er det eneste virkelige forsvaret du har å spørre din oppstrøms leverandør for å filtrere [den ondsinnede trafikken], "sa han. "Det er ikke noe offeret kan gjøre selv. De trenger samarbeid fra leverandøren."

DNS-systemet, en slags kataloghjelpstjeneste for Internett, har blitt økt granskning det siste året, da hacker Dan Kaminsky oppdaget en alvorlig feil i systemet. Den feilen, som nå er patched av beslutningstakere av DNS-programvare, kan utnyttes for å omdirigere Internett-trafikk til skadelige datamaskiner uten offerets kunnskap.

DNS-OARC har utgitt noen informasjon om hvordan man kan forhindre at BIND DNS-servere brukes i et av disse angrepene. Microsoft kunne ikke umiddelbart gi informasjon om hvordan å redusere dette angrepet på sine egne produkter, men veiledningen om distribusjon av sikre DNS-servere finner du her.