I desember publiserte US-CERT en advarsel om en ny type distribuert tjenestenektangrep: The Continuing Denial of Service Threat Posed by DNS Recursion.
I en pressebriefing i går gjorde sikkerhetssjef Ken Silva i Verisign rede for erfaringene hittil med denne nye typen angrep.
Vanlige distribuerte tjenestenektangrep går ut på at flere tusen zombie-PC-er som kontrolleres av uvedkommende i såkalte «bot-nett», mobiliseres til å henvende seg samtidig til ett gitt offer. Resultatet er at offerets server kneler.
I den nye formen for tjenestenekt, går ikke trafikken fra zombie-PC-ene direkte til offeret. I stedet går de som henvendelser til en DNS-server som tillater mellomlagring («recursion») av adresser tilhørende andre domener. Henvendelsene er manipulert slik at DNS-serveren tror de kommer fra offerets server. Resultatet er at offerets server overveldes av en flom av svar fra DNS-serveren.
Ifølge Verisign ble denne metoden brukt i en langvarig angrepsbølge mot 1500 ulike bedrifter i perioden 3. januar til rundt midten av februar. I mange tilfeller benyttet angriperne seg av feilkonfigurering av DNS-serverne, som lot dem øke datastrømmen tilbake til ofrene mangfoldige ganger.
I US-CERT-advarselen er flere anbefalinger for hvordan DNS-servere under ulike operativsystemer kan settes opp for å redusere risikoen for slike angrep. I hovedsak anbefales det å begrense DNS-serverens mellomlagring av IP-adresser for fremmede domener. US-CERT peker på at DNS-servere som misbrukes til rekursjonsangrep også selv opplever nedsatt kapasitet til å ta seg vanlige oppgaver, i tillegg til at nettverket rundt dem rammes.
US-CERT-rapporten viser blant annet til en undersøkelse som digi.no refererte fra i oktober i fjor. Der ble faren for denne typen tjenestenektangrep understreket av det faktum at mellom 75 og 84 prosent av verdens DNS-servere tillater mellomlagring av langt flere adresser enn de strengt tatt burde.
Les også:
- [11.08.2008] DNS-fiksen har selv et stort sikkerhetshull
- [01.08.2008] Halve Internett fortsatt truet av sårbar DNS
- [11.07.2008] Hemmelig samarbeid reddet DNS-serverne
- [27.03.2006] Stjal bærbar med personinfo fra ulåst bil
- [07.03.2006] Internett-angrep for pengenes skyld
- [29.12.2005] eBay-hacker risikerer ti år
- [29.11.2005] Kan angripe IPv4 gjennom IPv6
- [25.10.2005] De fleste DNS-servere er åpne for angrep
