Report: Offene DNS-Resolver zunehmend zur Verstärkung von DDoS-Attacken

Offene und falsch konfigurierte DNS (Domain Name System) Resolver werden zunehmend zur Vertei- lung von verteilten Resolvern eingesetzt Denial-of-Service-Angriffe (DDoS), heißt es in einem am Mittwoch veröffentlichten Bericht von HostExploit, einer Organisation, die an Cyberkriminellen beteiligte Internet-Hosts aufspürt.

In der neuesten Ausgabe des World Hosts Report, der das dritte Quartal 2012 abdeckt Die Organisation umfasste Daten über offene DNS-Resolver und die autonomen Systeme - große Blöcke von IP-Adressen (Internet Protocol), die von Netzwerkbetreibern gesteuert werden - wo sie sich befinden D.

Das liegt daran, dass laut HostExploit falsch konfigurierte offene DNS-Resolver - Server, die von jedem zur Auflösung von Domainnamen in IP-Adressen verwendet werden können - zunehmend missbraucht werden, um mächtige DDoS-Attacken zu starten.

[Weitere Informationen: Wie? Entfernen von Malware von Ihrem Windows-PC]

DNS-Amplifikationsangriffe haben eine Laufzeit von mehr als 10 Jahren und basieren auf der Tatsache, dass kleine DNS-Abfragen zu erheblich größeren DNS-Antworten führen können.

Ein Angreifer kann Rogue-DNS-Anfragen an a eine große Anzahl offener DNS-Resolver und verwenden Sie Spoofing, um den Eindruck zu erwecken, als ob diese Anforderungen von der IP-Adresse des Ziels stammten. Daher senden die Resolver ihre großen Antworten zurück an die IP-Adresse des Opfers anstatt an die Adresse des Absenders.

Zusätzlich zu einem Verstärkungseffekt macht es diese Technik für das Opfer sehr schwierig, die ursprüngliche Quelle des Ziels zu bestimmen attackiert und macht es auch für Nameserver, die sich in der DNS - Kette befinden, die von den missbrauchten offenen DNS - Resolvern abgefragt werden, unmöglich, die IP - Adresse des Opfers zu sehen.

"Die Tatsache, dass so viele dieser nicht verwalteten offenen Rekursoren existieren, erlaubt Angreifer sollen die Ziel-IPs der tatsächlichen DDoS-Ziele von den Betreibern der autoritativen Server verschleiern, deren große Datensätze sie missbrauchen ", sagte Roland Dobbins, Lösungsarchitekt im Security & Engineering Response Team des DDoS-Schutzanbieters Arbor Networks, Donnerstag per E-Mail.

"Es ist auch wichtig zu beachten, dass der Einsatz von DNSSEC DNS-Reflection / Amplification-Attacken sehr viel einfacher gemacht hat, da die kleinste Reaktion des Angreifers f stimuliert oder jede Frage, die er wählt, ist mindestens 1300 Bytes ", sagte Dobbins.

Obwohl diese Angriffsmethode seit Jahren bekannt ist," DDoS-Verstärkung wird jetzt viel häufiger und zu verheerenden Wirkung verwendet ", schrieb Bryn Thompson von HostExploit Mittwoch In einem Blogbeitrag.

"Wir haben das kürzlich gesehen und wir sehen es ansteigen", sagte Neal Quinn, Chief Operating Officer des DDoS-Mitigation-Anbieters Prolexic, am Donnerstag per E-Mail.

"Diese Technik erlaubt relativ kleine Botnets verursachen große Überschwemmungen zu ihrem Ziel ", sagte Quinn. "Das Problem ist ernst, weil es große Datenmengen erzeugt, die für viele Netzwerke ohne den Einsatz eines Cloud-Mitigation-Providers schwierig zu verwalten sind."

Dobbins konnten nicht sofort Daten über die aktuelle Häufigkeit von DNS-basierten teilen DDoS-Amplifikationsangriffe, aber merkte an, dass SNMP (Simple Network Management Protocol) und NTP (Network Time Protocol) Reflection / Amplification-Angriffe "auch sehr große, überwältigende Angriffsgrößen generieren können."

In seinem Bericht ordnete HostExploit die Autonomen Systeme mit die größte Anzahl offener DNS-Resolver in ihren IP-Adressräumen. Der Top, der von Terra Networks Chile gesteuert wird, enthält mehr als 3.200 offene Resolver in einem Pool von rund 1,3 Millionen IPs. Der zweite, von Telecomunicacoes de Santa Catarina (TELESC) kontrollierte Sender - jetzt Teil von Oi, Brasiliens größtem Telekommunikationsbetreiber - enthält fast 3.000 Resolver in einem Bereich von 6.3 Millionen IP-Adressen.

"Es sollte betont werden, dass offene rekursive Nameserver an sich kein Problem darstellen; Es ist die Fehlkonfiguration eines Nameservers, wo das potentielle Problem liegt ", sagte HostExploit in seinem Bericht.