DNS-problem kopplat till DDoS-attacker blir värre

Enligt att forskning som ska släppas under de närmaste dagarna, är en del av problemet skyldigt på det växande antalet konsumentenheter på Internet som konfigureras att acceptera DNS-frågor från var som helst, vilka nätverksexperter kallar "öppen rekursiv" eller "öppen" resolver "-systemet. Som fler konsumenter efterfrågar bredbandsinternet, rullar tjänsteleverantörer ut modem som konfigureras på detta sätt till sina kunder, säger Cricket Liu, vice vd för arkitekturen med Infoblox, det DNS-apparatföretag som sponsrade forskningen. "De två ledande synderna vi hittade var Telefonica och France Telecom," sa han.

Faktum är att andelen DNS-system på Internet som konfigureras på detta sätt har hoppat från cirka 50 procent 2007, till nästan 80 procent detta år, enligt Liu.

[Vidare läsning: Bästa NAS-lådor för media streaming och säkerhetskopiering]

Även om han inte har sett Infoblox-data, gick Georgia Tech Researcher David Dagon överens om att öppna rekursiva system är på väg upp, delvis på grund av "ökningen av hushållsnätverk som tillåter flera datorer på Internet." "

" Nästan alla Internetleverantörer distribuerar ett hem DSL / kabel-enhet ", sa han i en e-postintervju. "Många av enheterna har inbyggda DNS-servrar. Dessa kan ibland skickas i" öppna som standard "-stater."

Eftersom modem som är konfigurerade som öppna rekursiva servrar svarar DNS-frågor från någon på Internet, kan de användas i vad som är känt som en DNS-amplifieringsattack.

I denna attack skickar hackare spoofed DNS-frågemeddelanden till den rekursiva servern och lurar den på att svara på ett offerdatas dator. Om de dåliga killarna vet vad de gör kan de skicka ett litet 50 byte meddelande till ett system som svarar genom att skicka offeret så mycket som 4 kilobytes data. Genom att hindra flera DNS-servrar med dessa spoofed-frågor kan angripare överväldiga sina offer och effektivt slå dem offline.

DNS-experter har känt om det öppna rekursiva konfigurationsproblemet i flera år, så det är förvånande att siffrorna hoppar upp.

Men enligt Dagon är en viktigare fråga det faktum att många av dessa enheter inte innehåller patchar för en allmänt publicerad DNS-fel som upptäckts av forskaren Dan Kaminsky förra året. Denna fel kan användas för att lura ägarna av dessa enheter till att använda Internet-servrar som styrs av hackare utan att någonsin inse att de har blivit upptagna.

Infoblox uppskattar att 10 procent av de öppna rekursiva servrarna på Internet inte har blivit patchade.

Infoblox-undersökningen genomfördes av The Measurement Factory, som får sina data genom att skanna cirka 5 procent av IP-adresserna på Internet. Uppgifterna kommer att publiceras här de närmaste dagarna.

Enligt Measurement Factory President Duane Wessels uppträder DNS-amplifieringsattacker, men de är inte den vanligaste formen av DDoS-attacken. "De av oss som spåra dessa och är medvetna om det tenderar att vara lite förvånad över att vi inte ser fler attacker som använder öppna resolver," sa han. "Det är typ av ett pussel."

Wessels tror att flytten mot nästa generations IPv6-standard kan vara oavsiktligt medverka till problemet. Några av modemen är konfigurerade för att använda DNS-serverns programvara, kallad Trick eller Tread Daemon (TOTd) - som konverterar adresser mellan IPv4 och IPv6-format. Ofta är denna programvara konfigurerad som en öppen resolver, sade Wessels.