Problema DNS legată de atacurile DDoS devine mai rău

De fapt, procentul de sisteme DNS pe Internet configurate in acest fel a crescut de la 50 la suta in 2007 la aproape 80 la suta an, conform lui Liu.

Deși nu a văzut datele Infoblox, cercetătorul Georgia Tech David Dagon a fost de acord că sistemele recursive deschise sunt în creștere, în parte din cauza "creșterii numărului de aparate din rețeaua de domiciliu care permit mai multe computere pe Internet".

"Aproape toți ISP-urile distribuie un dispozitiv DSL / cablu de acasă", a spus el într-un interviu prin e-mail. "Multe dintre dispozitive au servere DNS încorporate, care pot fi livrate uneori în stările" deschise implicit "."

Deoarece modemurile configurate ca servere recursive deschise vor răspunde la întrebări DNS de la oricine de pe Internet, pot fi utilizate în ceea ce se numește un atac de amplificare DNS.

În acest atac, hackerii trimit mesaje de interogare DNS falsificate către serverul recursiv, trăgându-l în a răspunde la computerul victimei. Dacă băieții răi știu ce fac, pot trimite un mesaj de 50 de octeți unui sistem care să răspundă prin trimiterea victimei la fel de mult ca 4 kilobați de date. Prin interzicerea mai multor servere DNS cu aceste interogări falsificate, atacatorii pot să își copleșească victimele și să-i smulgă în mod efectiv offline.

Experții DNS știu de mai mulți ani problema configurării recursive deschise, deci este surprinzător faptul că numerele se ridică. Cu toate acestea, conform lui Dagon, o problemă mai importantă este faptul că multe dintre aceste dispozitive nu includ patch-uri pentru un defect DNS larg publicat descoperit de cercetătorul Dan Kaminsky anul trecut. Acest defect ar putea fi folosit pentru ai smulge pe proprietarii acestor dispozitive să utilizeze serverele Internet controlate de hackeri fără să-și dea seama că au fost înșelați.

Infoblox estimează că 10% din serverele recursive deschise de pe Internet nu au fost patch-uri.

Sondajul Infoblox a fost realizat de The Measurement Factory, care își obține datele scanând aproximativ 5% din adresele IP pe Internet. Datele vor fi postate aici în următoarele zile.

Potrivit președintelui Measurement Factory Duane Wessels, atacurile de amplificare DNS apar, dar nu sunt cea mai comună formă de atac DDoS. "Cei dintre noi care urmăresc aceste lucruri și sunt conștienți de acest lucru tind să fie puțin surprinși de faptul că nu vedem mai multe atacuri care utilizează rezolvarea deschisă", a spus el. "Este un fel de puzzle."

Wessels consideră că trecerea la standardul IPv6 de nouă generație poate contribui din neatenție la problemă. Unele modemuri sunt configurate să utilizeze software-ul de server DNS denumit Trick sau Tread Daemon (TOTd) - care convertește adresele între formatele IPv4 și IPv6. Adesea, acest software este configurat ca un resolver deschis, a spus Wessels.