Masalah DNS Terkait dengan Serangan DDoS Semakin Buruk

Keamanan internet Para ahli mengatakan bahwa DSL dan modem kabel yang salah konfigurasi memperburuk masalah yang terkenal dengan DNS Internet (sistem nama domain), sehingga lebih mudah bagi para peretas untuk meluncurkan serangan penolakan-layanan-terdistribusi (DDoS) terhadap korban-korban mereka.

Menurut untuk penelitian yang akan dirilis dalam beberapa hari ke depan, bagian dari masalah ini disalahkan pada semakin banyak perangkat konsumen di Internet yang dikonfigurasi untuk menerima permintaan DNS dari mana saja, apa yang disebut pakar jaringan "rekursif terbuka" atau "terbuka" memperbaiki "sistem. Karena semakin banyak konsumen menuntut Internet broadband, penyedia layanan meluncurkan modem yang dikonfigurasikan dengan cara ini kepada pelanggan mereka, kata Cricket Liu, wakil presiden arsitektur dengan Infoblox, perusahaan alat DNS yang mensponsori penelitian tersebut. "Dua penyebab utama yang kami temukan adalah Telefonica dan France Telecom," katanya.

Faktanya, persentase sistem DNS di Internet yang dikonfigurasi dengan cara ini telah melonjak dari sekitar 50 persen pada 2007, menjadi hampir 80 persen ini. tahun, menurut Liu.

[Bacaan lebih lanjut: Kotak NAS terbaik untuk streaming media dan cadangan]

Meskipun dia belum melihat data Infoblox, Peneliti Georgia Tech David Dagon setuju bahwa sistem rekursif terbuka sedang meningkat, sebagian karena "peningkatan peralatan jaringan rumah yang memungkinkan banyak komputer di Internet."

"Hampir semua ISP mendistribusikan perangkat DSL / kabel rumah," katanya dalam wawancara e-mail. "Banyak perangkat memiliki server DNS internal. Terkadang ini dapat dikirimkan dalam keadaan 'terbuka secara default'."

Karena modem yang dikonfigurasi sebagai server rekursif terbuka akan menjawab pertanyaan DNS dari siapa pun di Internet, mereka dapat digunakan di apa yang dikenal sebagai serangan amplifikasi DNS.

Dalam serangan ini, peretas mengirim pesan permintaan DNS palsu ke server rekursif, mengelabui untuk membalas ke komputer korban. Jika orang jahat tahu apa yang mereka lakukan, mereka dapat mengirim pesan 50 byte kecil ke sistem yang akan merespon dengan mengirimkan korban sebanyak 4 kilobyte data. Dengan menghentikan beberapa server DNS dengan kueri palsu ini, penyerang dapat membanjiri korban mereka dan secara efektif menjatuhkan mereka secara offline.

Para ahli DNS telah mengetahui tentang masalah konfigurasi rekursif terbuka selama bertahun-tahun, sehingga mengejutkan bahwa jumlahnya melonjak.

Namun, menurut Dagon, masalah yang lebih penting adalah fakta bahwa banyak dari perangkat ini tidak menyertakan patch untuk cacat DNS yang dipublikasikan secara luas yang ditemukan oleh peneliti Dan Kaminsky tahun lalu. Cacat itu dapat digunakan untuk mengelabui pemilik perangkat ini agar menggunakan server Internet yang dikendalikan oleh peretas tanpa pernah menyadari bahwa mereka telah ditipu. Infoblox memperkirakan bahwa 10% dari server rekursif terbuka di Internet belum ditambal.

Survei Infoblox dilakukan oleh The Measurement Factory, yang mendapatkan datanya dengan memindai sekitar 5 persen dari alamat IP di Internet. Data akan diposting di sini dalam beberapa hari ke depan.

Menurut Presiden Pengukuran Pabrik Duane Wessels, serangan amplifikasi DNS memang terjadi, tetapi itu bukan bentuk serangan DDoS yang paling umum. "Bagi kami yang melacak ini dan menyadarinya cenderung sedikit terkejut bahwa kami tidak melihat lebih banyak serangan yang menggunakan resolver terbuka," katanya. "Ini semacam teka-teki."

Wessels percaya bahwa langkah menuju standar IPv6 generasi berikutnya mungkin secara tidak sengaja berkontribusi terhadap masalah. Beberapa modem dikonfigurasi untuk menggunakan perangkat lunak server DNS yang disebut Trick atau Tread Daemon (TOTd) - yang mengubah alamat antara format IPv4 dan IPv6. Seringkali perangkat lunak ini dikonfigurasi sebagai resolver terbuka, kata Wessels.