Porno Site Feud Spawns Yeni DNS Saldırısı

İki pornografik Web sitesi arasında bir hurda, internetin Alan Adı Sistemi'nde (DNS) daha önce bilinmeyen bir sorguçtan yararlanarak diğerini nasıl indireceğine karar verdiğinde çirkinleşti.

Saldırı DNS Amplifikasyonu olarak bilinir. Aralık ayından bu yana aralıklı olarak kullanılmaya başlandı, ancak küçük bir New York İnternet servis sağlayıcısı olan ISPrime'nin dağıtılmış bir hizmet reddi (DDOS) saldırısı ile daha da sertleşmeye başladığı geçen ay hakkında konuşmaya başladı. Saldırı, şirketin teknoloji müdürü Phil Rosenthal'e göre, ISPrime'ın ağında bulunan bir rakibi kapatmaya çalışan pornografik bir İnternet sitesinin operatörü tarafından başlatıldı.

ISPrime'a yönelik saldırı Pazar sabahı başladı. 18 Ocak, yaklaşık bir gün sürdü, ancak dikkat çekici olan nokta, nispeten az sayıda bilgisayarın ağ üzerinde çok büyük miktarda trafik üretebilmeleriydi.

[Ekstra okuma: Medya akışı için en iyi NAS kutuları ve yedek]

Bir gün sonra, benzer bir saldırı üç gün sürdü. ISPrime, istenmeyen trafiği filtrelemeden önce, saldırganlar şirketin bant genişliğinin yaklaşık 5GB / saniye kadarını kullanabildiler,

Biraz çalışma ile Rosenthal'ın personeli düşmanca trafiği filtrelemeyi başardı, ancak e- mail röportajı, saldırının "hizmet ataklarının reddedilmesinin karmaşıklığındaki rahatsız edici bir eğilimi temsil ettiğini" söyledi.

Güvenlik şirketi SecureWorks'teki tehdit istihbarat müdürü Don Jackson'a göre, yakında bu DNS Güçlendirmesinin çok daha fazlasını görebiliriz saldırılar. Geçtiğimiz hafta geç saatlerde, bilgisayarları kesilen bilgisayar ağlarını en yüksek teklif verenlere kiralayan botnet operatörleri, ağlarına özel DNS Amplifikasyon araçları eklemeye başladılar.

"Herkes şimdi onu aldı" dedi. "Bazı eski Sovyet cumhuriyetindeki bir sonraki büyük DDOS, bunu anladığımı göreceksiniz, eminim."

Bir DNS amplifikasyon saldırısını özellikle kötü yapan şeylerden biri, çok küçük bir paket göndererek Yasal bir DNS sunucusu, 17 byte, saldırgan, daha sonra saldırganın kurbanı için daha büyük bir paket (yaklaşık 500 byte) göndermesi için sunucuyu kandırabilir. Saldırgan, paketin kaynağını sulandırarak, kurbanın ağının belirli bölümlerine yönlendirebilir.

Jackson, ISPrime'a karşı 5GB / saniye saldırısının sadece 2000 bilgisayarla gerçekleştirildiğini tahmin ediyor. ISPrime ağına su basmaya başlayan ad görevlileri. ISPrime Rosenthal, ağındaki saldırıda yaklaşık 750.000 yasal DNS sunucusunun kullanıldığını söylüyor.

Bu haftanın başlarında, SecureWorks, DNS Amplifikasyon saldırısının teknik analizini yaptı.

Saldırı, DNS uzmanları arasında çok fazla tartışma yaratıyor Duane Wessels'a göre, Redwood City, California'da bulunan DNS-OARC (Operasyon Analizi ve Araştırma Merkezi) program yöneticisi.

"Endişe, bu tür saldırıların daha yüksek profilli hedeflerde kullanılabileceğidir." dedi ki.

Saldırıyı özellikle kötü yapan şeylerden biri de, korumak için çok zor olmasıdır.

"Bildiğim kadarıyla, sahip olduğun tek gerçek savunma, yukarı havza sağlayıcınızın filtrelenmesini istemektir [Kötü niyetli trafik ”dedi. “Kurbanın kendileri tarafından yapabilecekleri bir şey değil. Sağlayıcıdan işbirliğine ihtiyaçları var.”

İnternet için bir çeşit rehberlik hizmeti olan DNS sistemi, geçen yıl hacker Dan Kaminsky’nin dikkat çekti. sistemde ciddi bir kusur keşfetti. DNS yazılımının üreticileri tarafından yamalanan bu kusur, Internet trafiğini mağdurun bilgisi olmadan kötü amaçlı bilgisayarlara sessizce yeniden yönlendirmek için kullanılabilir.

DNS-OARC, BIND DNS sunucularının nasıl kullanılmasını engellemeye yönelik bazı bilgiler yayınladı. Bu saldırılardan birinde. Microsoft, bu özel saldırıyı kendi ürünleriyle nasıl hafifleteceği konusunda hemen bilgi sağlayamadı, ancak güvenli DNS sunucularının dağıtımıyla ilgili kılavuz burada bulunabilir.