Rapport: Öppna DNS-resolverare missbrukas för att förstärka DDoS-attacker

Open och miskonfigurerade DNS-domäner (Domain Name System) resolver används i allt högre grad för att förstärka distribuerade avslag på service (DDoS), enligt en rapport som släpptes onsdagen av HostExploit, en organisation som spårar internetvärdar som är involverade i brottslig verksamhet.

I den senaste utgåvan av sin världsberättelse rapport, som täcker tredje kvartalet 2012, organisationen inkluderade data om öppna DNS-resolver och de autonoma systemen-stora block av Internet Protocol (IP) adresser som styrs av nätoperatörer-där de är lokaliserade d.

Det beror på att HostExploit, felaktigt konfigurerade öppna DNS-resolveringsservrar som kan användas av någon att lösa domännamn till IP-adresser, blir alltmer missbrukade för att starta kraftfulla DDoS-attacker.

[Ytterligare läsning: Hur för att ta bort skadlig kod från din Windows-dator]

DNS-amplifieringsattacker återkommer mer än 10 år och baseras på det faktum att små DNS-frågor kan leda till betydligt större DNS-svar.

En angripare kan skicka rogue DNS-förfrågningar till en stort antal öppna DNS-resolver och använd spoofing för att få det att se ut som om de här förfrågningarna härstammar från målets IP-adress. Som ett resultat kommer resolverna att skicka sina stora svar tillbaka till offrets IP-adress i stället för avsändarens adress.

Förutom att ha en förstärkningseffekt gör denna teknik det mycket svårt för offret att bestämma den ursprungliga källan till attack och gör det också omöjligt för namnservrar högre upp på DNS-kedjan som frågas av de missbrukade öppna DNS-resolverna för att se offrets IP-adress.

"Det faktum att så många av dessa omanagda öppna rekursorer existerar tillåter angripare att obfuscera destinationens IP-adresser av de faktiska DDoS-målen från operatörerna hos de auktoritativa servrarna, vars stora register de missbrukar ", säger Roland Dobbins, lösningsarkitekt i Security & Engineering Response Team hos DDoS-skyddssäljaren Arbor Networks, torsdag via e-post.

"Det är också viktigt att notera att utbyggnaden av DNSSEC har gjort DNS-reflektion / förstärkningsattacker ganska lättare, eftersom det minsta svaret angriparen kommer att stimulera f eller någon fråga han väljer är minst 1300 byte, säger Dobbins.

Även om denna angreppsmetod har varit känd i flera år, "DDoS-förstärkning används mycket oftare nu och till förödande effekt," skrev Bryn Thompson i HostExploit onsdag i ett blogginlägg.

"Vi har sett det här nyligen, och vi ser det öka," säger Neal Quinn, chef för operatören för DDoS-reduktionsleverantör Prolexic, torsdag via e-post.

"Denna teknik möjliggör relativt små botnät till skapa stora översvämningar mot sitt mål ", sa Quinn. "Problemet är allvarligt eftersom det skapar stora trafikvolymer, vilket kan vara svårt att hantera för många nätverk utan användning av en cloud mitigation provider."

Dobbins kunde inte omedelbart dela några data om den senaste frekvensen av DNS-baserade DDoS-förstärkningsattacker, men noterade att SNMP (Simple Network Management Protocol) och NTP (Network Time Protocol) reflektions- / förstärkningsattacker "också kan generera mycket stora överväldigande attackstorlekar."

I sin rapport rankade HostExploit de autonoma systemen med det största antalet öppna DNS-resolver i sina IP-adressrum. Den översta, som kontrolleras av Terra Networks Chile, innehåller mer än 3 200 öppna beslutsfattare i en pool på cirka 1,3 miljoner IP-adresser. Den andra, som kontrolleras av Telecomunicacoes de Santa Catarina (TELESC) - nu en del av Oi, Brasiliens största telekomoperatör - innehåller nästan 3000 resolver i ett utrymme på 6,3 miljoner IP-adresser.

"Det borde vara stressat. Öppna rekursiva namnservrar är inte ett problem i sig själva. Det är felkonfigurationen för en nameserver där det potentiella problemet ligger ", säger HostExploit i sin rapport.