Situs Porno Pertengkaran Memicu Serangan DNS Baru

Sebuah memo antara dua situs web pornografi berubah menjadi buruk ketika seseorang menemukan cara untuk menjatuhkan yang lain dengan mengeksploitasi permainan kata-kata tidak dikenal sebelumnya di Domain Name System (DNS) Internet.

Serangan ini dikenal sebagai DNS Amplification. Ini telah digunakan secara sporadis sejak Desember, tetapi mulai dibicarakan bulan lalu ketika ISPrime, penyedia layanan Internet New York kecil, mulai terpukul keras dengan apa yang dikenal sebagai serangan penolakan layanan didistribusikan (DDOS). Serangan itu diluncurkan oleh operator situs web pornografi yang mencoba untuk mematikan pesaing, yang dihosting di jaringan ISPrime, menurut Phil Rosenthal, kepala perwira teknologi perusahaan.

Serangan terhadap ISPrime dimulai pada pagi hari Minggu, 18 Januari. Ini berlangsung sekitar satu hari, tetapi yang luar biasa adalah bahwa sejumlah kecil PC mampu menghasilkan lalu lintas dalam jumlah sangat besar di jaringan.

[Bacaan lebih lanjut: Kotak NAS terbaik untuk streaming media dan cadangan]

Satu hari kemudian, serangan serupa terjadi, berlangsung selama tiga hari. Sebelum ISPrime dapat menyaring lalu lintas yang tidak diinginkan, penyerang dapat menggunakan sekitar 5GB / detik dari bandwidth perusahaan,

Dengan sedikit kerja, staf Rosenthal mampu menyaring lalu lintas yang tidak bersahabat, tetapi dalam sebuah e- surat wawancara dia mengatakan bahwa serangan "mewakili tren mengganggu dalam kecanggihan serangan penolakan layanan."

Menurut Don Jackson, direktur intelijen ancaman di vendor keamanan SecureWorks, kita dapat segera melihat lebih banyak dari Amplifikasi DNS ini serangan. Akhir pekan lalu, para operator botnet, yang menyewakan jaringan komputer mereka yang diretas ke penawar tertinggi, mulai menambahkan alat Amplifikasi DNS kustom ke jaringan mereka.

"Semua orang mengambilnya sekarang," katanya. "DDOS besar berikutnya di beberapa bekas republik Soviet, Anda akan melihat ini disebutkan, saya yakin."

Salah satu hal yang membuat serangan amplifikasi DNS sangat buruk adalah kenyataan bahwa dengan mengirimkan paket yang sangat kecil ke server DNS yang sah, katakanlah 17 byte, penyerang dapat mengelabui server agar mengirim paket yang jauh lebih besar - sekitar 500 byte --- kepada korban serangan. Dengan spoofing sumber paket, penyerang dapat mengarahkannya pada bagian-bagian tertentu dari jaringan korbannya.

Jackson memperkirakan bahwa serangan 5GB / detik terhadap ISPrime dicapai hanya dengan 2.000 komputer, yang mengirim paket palsu ke ribuan sah server nama, yang semuanya mulai membanjiri jaringan ISPrime. ISPrime's Rosenthal mengatakan bahwa sekitar 750.000 server DNS yang sah digunakan dalam serangan di jaringannya.

Awal pekan ini, SecureWorks menghasilkan analisis teknis dari serangan Amplifikasi DNS.

Serangan ini menghasilkan banyak diskusi di antara para ahli DNS, menurut Duane Wessels, manajer program dengan DNS-OARC (Analisis Operasi dan Pusat Penelitian), yang berbasis di Redwood City, California.

"Kecemasannya adalah serangan semacam ini dapat digunakan pada target yang lebih tinggi profilnya,"

Salah satu hal yang membuat serangan itu sangat jahat adalah sangat sulit untuk dilindungi.

"Sejauh yang saya tahu, satu-satunya pertahanan sejati yang Anda miliki adalah meminta penyedia hulu Anda untuk menyaring [lalu lintas jahat], "katanya. "Ini bukan sesuatu yang bisa dilakukan korban sendiri. Mereka membutuhkan kerja sama dari provider."

Sistem DNS, semacam layanan bantuan direktori untuk internet, telah mendapat sorotan yang meningkat selama setahun terakhir, ketika peretas Dan Kaminsky menemukan kesalahan serius dalam sistem. Cacat itu, yang kini telah ditambal oleh pembuat perangkat lunak DNS, dapat dimanfaatkan untuk mengalihkan lalu lintas Internet secara diam-diam ke komputer berbahaya tanpa sepengetahuan korban.

DNS-OARC telah menerbitkan beberapa informasi tentang cara mencegah server BIND DNS agar tidak digunakan di salah satu serangan ini. Microsoft tidak dapat segera memberikan informasi tentang cara mengurangi serangan khusus ini pada produknya sendiri, tetapi panduannya dalam menggunakan server DNS yang aman dapat ditemukan di sini.