Rapport: Åpne DNS-resolvere blir stadig mer misbrukt for å forsterke DDoS-angrep.

Åpen og feilkonfigurerte DNS (Domain Name System) resolvere brukes i økende grad til å forsterke distribuert (DDoS) angrep, ifølge en rapport utgitt onsdag av HostExploit, en organisasjon som sporer Internett-verter som er involvert i nettkriminalitet.

I den nyeste utgaven av sin vertsrapport, som dekker tredje kvartal 2012 organisasjonen inkluderte data om åpne DNS-resolvere og de autonome systemene - store blokker av IP-adresser (IP-adresser) kontrollert av nettverksoperatører hvor de er lokalisert d.

Det skyldes at HostExploit, feil konfigurert åpne DNS-resolvere-servere som kan brukes av alle til å løse domenenavn til IP-adresser, blir stadig mer misbrukt for å starte kraftige DDoS-angrep.

[Videre lesing: Hvordan

DNS-amplifikasjonsangrep går tilbake mer enn 10 år og er basert på at små DNS-spørringer kan føre til betydelig større DNS-svar.

En angriper kan sende falske DNS-forespørsler til en stort antall åpne DNS-resolvere og bruk spoofing for å få det til å virke som om forespørgene stammer fra målets IP-adresse. Som et resultat vil resolverne sende sine store svar tilbake til offerets IP-adresse i stedet for avsenderens adresse.

I tillegg til å ha en forsterkningseffekt, gjør denne teknikken det svært vanskelig for offeret å bestemme den opprinnelige kilden til angrep og gjør det også umulig for navneservere høyere oppe på DNS-kjeden som blir bedt om av misbrukte åpne DNS-resolvere for å se offerets IP-adresse.

"Det faktum at så mange av disse ustyrte åpne rekursorer eksisterer, tillater at angripere til å obfuscate destinasjons-IP-ene av de faktiske DDoS-målene fra operatørene av de autoritative serverne, hvis store poster de misbruker, sier Roland Dobbins, løsningsarkitekt i Security & Engineering Response Team hos DDoS-beskyttelsesleverandøren Arbor Networks, torsdag via e-post.

"Det er også viktig å merke seg at distribusjonen av DNSSEC har gjort DNS refleksjon / amplifikasjonsangrep ganske enklere, da det minste svaret angriperen vil stimulere f eller hvilken som helst forespørsel han velger, er minst 1300 byte, sier Dobbins.

Selv om denne angrepsmetoden har vært kjent i årevis, blir DDoS-forsterkning brukt hyppigere nå og til ødeleggende effekt, skrev Bryn Thompson fra HostExploit onsdag i et blogginnlegg.

"Vi har sett dette nylig, og vi ser det økende," sa Neal Quinn, driftsansvarlig for DDoS-reduksjonsleverandøren Prolexic, torsdag via e-post.

"Denne teknikken tillater relativt små botneter å skape store flom mot målet deres, "sa Quinn. "Problemet er seriøst fordi det skaper store mengder trafikk, noe som kan være vanskelig å administrere for mange nettverk uten bruk av en cloud mitigation provider."

Dobbins kunne ikke umiddelbart dele data om den siste frekvensen av DNS-basert DDoS-amplifikasjonsangrep, men bemerket at SNMP (Simple Network Management Protocol) og NTP (Network Time Protocol) refleksjons- / forsterkningsangrep "kan også generere svært store, overveldende angrepsstørrelser."

I sin rapport rangerte HostExploit de autonome systemene med det største antallet åpne DNS-resolvere i deres IP-adresserom. Den øverste, kontrollert av Terra Networks Chile, inneholder mer enn 3200 åpne resolvere i et basseng på rundt 1,3 millioner IP-er. Den andre, kontrollert av Telecomunicacoes de Santa Catarina (TELESC) - nå en del av Oi, Brasiliens største telekomoperatør - inneholder nesten 3000 resolvere i et område på 6,3 millioner IP-adresser.

"Det burde være stresset Åpen rekursive navneservere er ikke et problem i seg selv; det er feilkonfigurasjonen til en navneserver der det potensielle problemet ligger, "sa HostExploit i rapporten.