Porn Site Feud spenderar nytt DNS-angrepp

Ett skrot mellan två pornografiska webbplatser blev otäckt när man funderade på hur man tog ner den andra genom att utnyttja en tidigare okänd dom i Internetets domännamnssystem (DNS).

Anfallet kallas DNS-förstärkning. Det har använts sporadiskt sedan december, men det började prata om förra månaden när ISPrime, en liten leverantör av internetleverantörer i New York, började drabbas hårt av vad som kallas DDOS-attack. Anfallet lanserades av operatören av en pornografisk webbplats som försökte stänga av en konkurrent, värd på ISPrime-nätverket, enligt Phil Rosenthal, företagets chefstekniker.

Angreppet på ISPrime startade på morgonen på söndagen, Den 18 januari. Det varade ungefär en dag, men det var anmärkningsvärt att ett relativt litet antal datorer kunde generera en mycket stor trafik på nätverket.

[Ytterligare läsning: Bästa NAS-lådor för media streaming och backup]

En dag senare följde en liknande attack som varade i tre dagar. Innan ISPrime kunde filtrera den oönskade trafiken kunde angriparna använda cirka 5 GB / sekund av företagets bandbredd,

Med lite arbete kunde Rosenthals personal filtrera bort den fientliga trafiken, men i en e- postintervju sa han att attacken "representerar en störande trend i sofistikeringen av avslag på serviceattacker." Enligt Don Jackson, chef för hot intelligence hos säkerhetsleverantören SecureWorks, kan vi snart se mycket mer av dessa DNS-förstärkningar attacker. I slutet av förra veckan började botnetoperatörerna, som hyr ut sina nät av hackade datorer till högstbjudande, börja lägga till anpassade DNS-förstärkningsverktyg till sina nätverk.

"Alla har plockat upp det nu," sa han. "Nästa stora DDOS på en del tidigare sovjetrepubliken, du kommer se detta nämnt, är jag säker."

En av de saker som gör en DNS-amplifieringsattack särskilt otäck är det faktum att genom att skicka ett mycket litet paket till en legitim DNS-server, säg 17 byte, kan angriparen då lura servern för att skicka ett mycket större paket - cirka 500 byte --- till offerets offer. Genom att spoofa källan till paketet kan angriparen styra den på specifika delar av sitt offeras nätverk.

Jackson uppskattar att 5GB / sekund-attacken mot ISPrime uppnåddes med bara 2000 datorer som skickade ut spoofed paket till tusentals legitima nameservers, som alla började översvämma ISPrime-nätverket. ISPrime's Rosenthal säger att cirka 750 000 legitima DNS-servrar användes i attacken på hans nätverk.

SecureWorks har tidigare gjort en teknisk analys av DNS-amplifieringsattacken.

Attacken genererar en hel del diskussion bland DNS-experter, enligt Duane Wessels, programchef med DNS-OARC (Operations Analysis and Research Center), baserat i Redwood City, Kalifornien. "

" Oroa är att denna typ av attack kan användas på mer högprofilerade mål " sade han.

En av de saker som gör attacken särskilt otäck är att det är mycket svårt att skydda mot.

"Såvitt jag vet är det enda verkliga försvaret du har att be din uppströmsleverantör att filtrera [den skadliga trafiken] ", sa han. "Det är inte något offret kan göra själv. De behöver samarbete från leverantören."

DNS-systemet, en slags kataloghjälpstjänst för Internet, har kommit under större granskning under det gångna året när hacker Dan Kaminsky upptäckte en allvarlig fel i systemet. Den fel som nu har patchats av tillverkare av DNS-programvara kan utnyttjas för att tyst omdirigera Internet-trafik till skadliga datorer utan offerets kunskaper.

DNS-OARC har publicerat en del information om hur man förhindrar att BIND DNS-servrar används i en av dessa attacker. Microsoft kunde inte omedelbart tillhandahålla information om hur man kan mildra denna angrepp på sina egna produkter, men dess vägledning om att distribuera säkra DNS-servrar finns här.