Porn Site Feud spawns New DNS Attack

Atacul este cunoscut sub numele de Amplificare DNS. Acesta a fost folosit sporadic începând cu luna decembrie, dar a început să vorbească despre luna trecută când ISPrime, un mic furnizor de servicii de Internet din New York, a început să fie lovit din greu cu ceea ce se numește atac DDOS (Distributed Denial of Service). Atacul a fost lansat de către operatorul unui site pornografic care încerca să închidă un concurent găzduit pe rețeaua ISPrime, potrivit lui Phil Rosenthal, directorul departamentului de tehnologie al companiei.

Atacul asupra ISPrime a început în dimineața zilei de duminică, 18 ianuarie. A durat aproximativ o zi, dar ceea ce sa remarcat a fost că un număr relativ mic de PC-uri au putut genera o cantitate foarte mare de trafic în rețea.

[Citirea în continuare: Cele mai bune casete NAS pentru streaming media și o copie de siguranță]

O zi mai târziu, a urmat un atac similar, de trei zile. Înainte ca ISPrime să poată filtra traficul nedorit, atacatorii au reușit să utilizeze aproximativ 5GB / secundă din lățimea de bandă a companiei,

Cu puțină muncă, personalul lui Rosenthal a reușit să elimine traficul ostil, dar într- mail, el a spus că atacul "reprezintă o tendință tulburătoare în sofisticarea atacurilor de negare a serviciilor."

Potrivit lui Don Jackson, directorul departamentului de informații despre amenințări la SecureWorks, putem vedea în curând o mult mai mare din aceste amplificări DNS atacuri. La sfârșitul săptămânii trecute, operatorii de botnet, care își închiriază rețelele de computere hackate către cel mai mare ofertant, au început să adauge în rețelele lor instrumente de amplificare DNS personalizate.

"Toată lumea a luat-o acum", a spus el. "Următorul mare DDOS din unele foste republici sovietice, veți vedea acest lucru menționat, sunt sigur."

Unul dintre lucrurile care face un atac de amplificare DNS deosebit de urât este faptul că prin trimiterea unui pachet foarte mic un server DNS legitim, spun 17 octeți, atacatorul poate șterge serverul să trimită un pachet mult mai mare - aproximativ 500 de octeți --- victimei atacului. Prin alunecarea sursei pachetului, atacatorul îl poate direcționa către anumite părți ale rețelei victimei sale.

Jackson estimează că atacul de 5GB / secundă împotriva ISPrime a fost realizat cu doar 2.000 de calculatoare, care au trimis pachete falsificate la mii de legitimi nameservers, care au început să inunde rețeaua ISPrime. ISPrime Rosenthal spune ca in atacul din reteaua sa au fost folositi aproximativ 750.000 de servere legale DNS

La inceputul acestei saptamani, SecureWorks a produs o analiza tehnica a atacului de amplificare DNS.

Atacul genereaza o multime de discutii intre expertii DNS, potrivit lui Duane Wessels, manager de program cu DNS-OARC (Centrul de analiză și operațiuni de operațiuni), cu sediul în Redwood City, California.

"Vă faceți griji că acest tip de atac ar putea fi folosit pe mai multe ținte de înaltă vizibilitate" a spus că

Unul dintre lucrurile care fac atacul deosebit de urât este că este foarte greu să-l protejezi.

"Din câte știu, singura apărare reală pe care o ai este să întrebi furnizorul din amonte să filtreze [traficul rău intenționat] ", a spus el. "Nu este ceva ce victima poate face singuri, ei au nevoie de cooperare de la furnizor."

Sistemul DNS, un fel de serviciu de asistență în directoare pentru Internet, a intrat sub control sporit în ultimul an, când hackerul Dan Kaminsky a descoperit un defect serios în sistem. Acest defect, care a fost acum patch-uri de către producătorii de software DNS, ar putea fi exploatat pentru a redirecționa în tăcere traficul Internet către computerele rău intenționate, fără cunoștința victimei.

DNS-OARC a publicat câteva informații despre cum să împiedice utilizarea serverelor DNS BIND într-unul dintre aceste atacuri. Microsoft nu a putut furniza imediat informații cu privire la modul de atenuare a acestui atac special asupra propriilor sale produse, dar instrucțiunile sale privind implementarea serverelor DNS securizate pot fi găsite aici.