Ny type angrep bekymrer CERT

US-CERT advarer mot en ny form for distribuert tjenestenekt, som angår DNS-servere.

17. mars 2006 - 14:38

I desember publiserte US-CERT en advarsel om en ny type distribuert tjenestenektangrep: The Continuing Denial of Service Threat Posed by DNS Recursion.

I en pressebriefing i går gjorde sikkerhetssjef Ken Silva i Verisign rede for erfaringene hittil med denne nye typen angrep.

Vanlige distribuerte tjenestenektangrep går ut på at flere tusen zombie-PC-er som kontrolleres av uvedkommende i såkalte «bot-nett», mobiliseres til å henvende seg samtidig til ett gitt offer. Resultatet er at offerets server kneler.

I den nye formen for tjenestenekt, går ikke trafikken fra zombie-PC-ene direkte til offeret. I stedet går de som henvendelser til en DNS-server som tillater mellomlagring («recursion») av adresser tilhørende andre domener. Henvendelsene er manipulert slik at DNS-serveren tror de kommer fra offerets server. Resultatet er at offerets server overveldes av en flom av svar fra DNS-serveren.

Ifølge Verisign ble denne metoden brukt i en langvarig angrepsbølge mot 1500 ulike bedrifter i perioden 3. januar til rundt midten av februar. I mange tilfeller benyttet angriperne seg av feilkonfigurering av DNS-serverne, som lot dem øke datastrømmen tilbake til ofrene mangfoldige ganger.

I US-CERT-advarselen er flere anbefalinger for hvordan DNS-servere under ulike operativsystemer kan settes opp for å redusere risikoen for slike angrep. I hovedsak anbefales det å begrense DNS-serverens mellomlagring av IP-adresser for fremmede domener. US-CERT peker på at DNS-servere som misbrukes til rekursjonsangrep også selv opplever nedsatt kapasitet til å ta seg vanlige oppgaver, i tillegg til at nettverket rundt dem rammes.

US-CERT-rapporten viser blant annet til en undersøkelse som digi.no refererte fra i oktober i fjor. Der ble faren for denne typen tjenestenektangrep understreket av det faktum at mellom 75 og 84 prosent av verdens DNS-servere tillater mellomlagring av langt flere adresser enn de strengt tatt burde.

    Les også:

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.