Rapor: Açık DNS çözümleyicileri DDoS saldırılarını yükseltmek için giderek kötüye kullanılmaya başladı

Açık ve yanlış yapılandırılmış DNS (Etki Alanı Adı Sistemi) çözümleyicileri, dağıtımı artırmak için giderek daha fazla kullanılıyor 2012 yılının üçüncü çeyreğini kapsayan World Hosts Raporu'nun son baskısında, HostExploit tarafından internet sitesinde yayın yapan bir organizatör olan HostExploit tarafından yayınlanan bir rapora göre hizmet reddi (DDoS) saldırıları. Kuruluş, açık DNS çözümleyicileri ve Ağ Operatörleri tarafından kontrol edilen Internet Protokolü (IP) adreslerine ait büyük bloklar (IP) adresleriyle ilgili verileri içeriyordu. d.

Çünkü, HostExploit'e göre, herhangi birinin etki alanı adlarını IP adreslerine çözümlemesi için herkes tarafından kullanılabilecek yanlış yapılandırılmış açık DNS çözücüler-sunucuları, güçlü DDoS saldırılarını başlatmak için gittikçe kötüye kullanıldı.

[Daha fazla okuma: Nasıl Windows PC'nizden kötü amaçlı yazılımları kaldırmak için]

DNS amplifikasyon saldırıları 10 yıldan daha eski bir tarihe sahiptir ve küçük DNS sorgularının önemli ölçüde daha büyük DNS yanıtlarıyla sonuçlanabileceği gerçeğine dayanır.

Saldırgan, bir dürüst DNS istekleri gönderebilir. çok sayıda açık DNS çözücüsü ve bu isteklerin hedefin IP adresinden kaynaklanmış gibi görünmesini sağlamak için sahteciliği kullanın. Sonuç olarak, çözücüler, büyük cevaplarını, gönderenin adresi yerine kurbanın IP adresine geri göndereceklerdir.

Bir büyütme etkisine sahip olmanın yanı sıra, bu teknik, mağdurun orijinal kaynağını belirlemesini çok zorlaştırmaktadır. Saldırı ve aynı zamanda, DNS zincirinde adı kötüye kullanılan açık DNS çözümleyicileri tarafından sorgulanan IP adresinin mağdurun IP adresini görmesini imkansız kılar.

“Yönetilmeyen bu açık yinelemelerin çoğunun var olmasına izin verir. saldırganlar, gerçek DDoS hedeflerinin hedef IP'lerini, büyük kayıtları kötüye kullandıkları yetkili sunucuların operatörlerinden gizlice etkileyeceklerini belirtti, ”dedi. DDoS koruma sağlayıcısı Güvenlik ve Mühendislik Müdahale Ekibi Arbor Networks'deki çözüm mimarı Roland Dobbins

“Ayrıca, DNSSEC dağıtımının DNS yansıması / amplifikasyon saldırılarını oldukça kolay hale getirdiğini, en küçük yanıtın da saldırganın veya seçtiği herhangi bir sorgu en az 1300 bayttır, dedi. Dobbins dedi.

Hostexploit'ten Bryn Thompson Çarşamba gününü yazdı. Bu saldırı yöntemi yıllardır bilinmesine rağmen, “DDoS amplifikasyonu şimdi çok daha sık ve yıkıcı etki için kullanılıyor” diye yazdı Bir blog gönderisinde.

DDoS hafifletme sağlayıcı Prolexic'in CEO'su Neal Quinn, Perşembe günü yaptığı açıklamada, "Bunu yakın zamanda gördük ve bunun arttığını görüyoruz." dedi.

“Bu teknik, nispeten küçük botnetlere izin veriyor. Quinn, hedeflerine doğru büyük seller yarattı ”dedi. “Sorun ciddidir, çünkü bir bulut azaltma sağlayıcısı kullanılmadan birçok ağ için yönetilmesi zor olabilen çok sayıda trafik oluşturur.”

Dobbins, DNS tabanlı son sıklık hakkında hemen hemen hiç bilgi paylaşamadı DDoS amplifikasyon saldırıları, ancak SNMP (Basit Ağ Yönetimi Protokolü) ve NTP (Ağ Zaman Protokolü) yansıma / amplifikasyon saldırılarının “çok büyük, ezici saldırı boyutlarına da neden olabileceğini” kaydetti. ”

Raporunda, HostExploit, Otonom Sistemlerle IP adres alanlarındaki en büyük açık DNS çözücüsü sayısı. Terra Networks Chile tarafından kontrol edilen en üstteki proje, yaklaşık 1,3 milyon IP'lik bir havuzda 3.200'den fazla açık çözücü barındırıyor. Brezilya'nın en büyük telekom operatörü olan Oi'nin bir parçası olan Telecomunicacoes de Santa Catarina (TELESC) tarafından kontrol edilen ikincisi, 6.3 milyon IP adresinde yaklaşık 3.000 çözücü içermektedir.

“Açık, özyinelemeli isyancılar, kendi başlarına bir sorun değil; Potansiyel sorunun ortaya çıktığı bir isim sunucusunun yanlış yapılandırmasıdır, ”diyor HostExploit kendi raporunda.