Отчет: все чаще устраняются DNS-резольверы для усиления DDoS-атак

Открытые и неправильно сконфигурированные DNS-системы (Domain Name System) все чаще используются для усиления распределенных (DDoS), согласно опубликованному в среду изданию HostExploit, организации, которая отслеживает интернет-хосты, участвующие в киберпреступных действиях.

В последнем выпуске своего отчета World Hosts Report, который охватывает третий квартал 2012 года, организация включала данные об открытых DNS-резольверах и автономных системах - большие блоки адресов интернет-протокола (IP), управляемые сетевыми операторами, - где они находятся d.

Это связано с тем, что, согласно HostExploit, неправильно настроенные открытые DNS-серверы, которые могут быть использованы кем-либо для разрешения имен доменов на IP-адреса, все чаще злоупотребляют для запуска мощных DDoS-атак.

[Дополнительная информация: Как для удаления вредоносных программ с вашего ПК с Windows]

Атаки с усилением DNS датируются более 10 лет и основаны на том факте, что небольшие DNS-запросы могут приводить к значительно большим ответам DNS.

Злоумышленник может отправлять запросы DNS-изгоев в большое количество открытых DNS-резольверов и использовать спуфинг, чтобы они отображались так, как если бы эти запросы возникли с IP-адреса цели. В результате ресиверы отправят свои большие ответы обратно на IP-адрес жертвы, а не на адрес отправителя.

В дополнение к эффекту усиления этот метод очень затрудняет жертву определить исходный источник а также делает невозможным, чтобы серверы имен были выше в цепочке DNS, которые запрашиваются злоумышленниками открытых DNS-резольверов, чтобы увидеть IP-адрес жертвы.

«Тот факт, что многие из этих неуправляемых открытых рекурсоров существуют, злоумышленников, чтобы обмануть IP-адреса целевых целей DDoS от операторов авторитетных серверов, чьи большие записи они злоупотребляют », - сказал Роланд Доббинс, архитектор решений в группе Security & Engineering Response Team в компании DDoS-защиты Arbor Networks, четверг по электронной почте.

«Важно также отметить, что развертывание DNSSEC сделало атаки DNS / усиления более легкими, так как наименьший ответ, который атакующий будет стимулировать f или любой запрос, который он выбирает, составляет как минимум 1300 байт », - сказал Доббинь.

Хотя этот метод атаки известен уже много лет,« усиление DDoS используется гораздо чаще и разрушительно », - писал Брин Томпсон из HostExploit в среду в сообщении в блоге.

«Мы видели это недавно, и мы видим, как это усиливается», - сказал четверг в четверг по электронной почте Нил Куинн, главный операционный директор DDoS-провайдера по смягчению ошибок.

«Этот метод позволяет относительно небольшим бот-сетям создают большие потоки к своей цели », - сказал Куинн. «Проблема серьезная, потому что она создает большие объемы трафика, что может быть трудно управлять для многих сетей без использования поставщика смягчения облака».

Доббины не могли сразу поделиться данными о недавней частоте DNS-based DDoS-усиления, но отметил, что атаки отражения и усиления SNMP (Simple Network Management Protocol) и NTP (Network Time Protocol) также могут генерировать очень большие, подавляющие размеры атак.

В своем отчете HostExploit оценил автономные системы с наибольшее количество открытых DNS-резольверов в их IP-адресных пространствах. Верхний, контролируемый Terra Networks Chile, содержит более 3200 открытых резольверов в пуле около 1,3 миллиона IP-адресов. Второй, контролируемый Telecomunicacoes de Santa Catarina (TELESC) - теперь является частью крупнейшего телекоммуникационного оператора в Бразилии - содержит почти 3000 преобразователей в объеме 6,3 миллиона IP-адресов.

«Следует подчеркнуть, что открытые рекурсивные серверы имен не являются проблемой сами по себе; это неправильная конфигурация сервера имен, где лежит потенциальная проблема », - говорится в отчете HostExploit в своем отчете.