Laporan: Buka DNS resolvers semakin disalahgunakan untuk memperkuat serangan DDoS

Buka dan salah dikonfigurasi DNS (Domain Name System) resolvers semakin banyak digunakan untuk memperkuat didistribusikan serangan denial-of-service (DDoS), menurut laporan yang dirilis Rabu oleh HostExploit, sebuah organisasi yang melacak host Internet yang terlibat dalam kegiatan cybercriminal.

Dalam edisi terbaru dari World Hosts Report, yang mencakup kuartal ketiga 2012, organisasi termasuk data tentang resolver DNS terbuka dan blok Autonomous Systems-large Internet Protocol (IP) yang dikendalikan oleh operator jaringan - di mana mereka mencari d.

Itu karena, menurut HostExploit, server DNS resolvers-server yang dikonfigurasi secara salah yang dapat digunakan oleh siapa saja untuk menyelesaikan nama domain ke alamat IP-semakin disalahgunakan untuk meluncurkan serangan DDoS yang kuat.

[Bacaan lebih lanjut: Bagaimana untuk menghapus malware dari PC Windows Anda Serangan amplifikasi DNS tanggal kembali lebih dari 10 tahun dan didasarkan pada fakta bahwa permintaan DNS yang kecil dapat menghasilkan respons DNS yang lebih besar secara signifikan.

Penyerang dapat mengirim permintaan DNS nakal ke sejumlah besar resolver DNS terbuka dan menggunakan spoofing untuk membuatnya tampak seolah-olah permintaan tersebut berasal dari alamat IP target. Akibatnya, resolvers akan mengirim tanggapan besar mereka kembali ke alamat IP korban, bukan alamat pengirim.

Selain memiliki efek amplifikasi, teknik ini membuatnya sangat sulit bagi korban untuk menentukan sumber asli dari menyerang dan juga membuat mustahil untuk server nama yang lebih tinggi pada rantai DNS yang dipertanyakan oleh pengatur DNS terbuka yang disalahgunakan untuk melihat alamat IP korban.

“Fakta bahwa begitu banyak dari retor terbuka yang tidak dikelola ini memungkinkan penyerang untuk mengaburkan IP tujuan dari target DDoS yang sebenarnya dari operator dari server otoritatif yang catatan besar mereka menyalahgunakan, ”kata Roland Dobbins, arsitek solusi di Tim Respons Keamanan & Teknik di vendor perlindungan Arbor DDoS, Kamis melalui email.

"Penting juga untuk dicatat bahwa penyebaran DNSSEC telah membuat serangan refleksi / penguatan DNS cukup mudah, karena respons terkecil yang akan diserang oleh penyerang atau pertanyaan apapun yang dia pilih setidaknya 1300 byte, "kata Dobbins.

Meskipun metode serangan ini telah dikenal selama bertahun-tahun," amplifikasi DDoS digunakan jauh lebih sering sekarang dan untuk efek yang merusak, "Bryn Thompson dari HostExploit menulis Rabu dalam posting blog.

"Kami telah melihat ini baru-baru ini dan kami melihatnya meningkat," Neal Quinn, chief operating officer dari vendor mitigasi DDoS Prolexic, mengatakan Kamis melalui email.

"Teknik ini memungkinkan botnet yang relatif kecil untuk membuat banjir besar menuju target mereka, ”kata Quinn. "Masalahnya serius karena menciptakan volume besar lalu lintas, yang dapat sulit dikelola untuk banyak jaringan tanpa menggunakan penyedia mitigasi awan."

Dobbins tidak dapat langsung berbagi data tentang frekuensi terbaru dari DNS berbasis Serangan amplifikasi DDoS, tetapi mencatat bahwa SNMP (Protokol Manajemen Jaringan Sederhana) dan NTP (Network Time Protocol) refleksi / serangan amplifikasi "juga dapat menghasilkan ukuran serangan yang sangat besar dan luar biasa."

Dalam laporannya, HostExploit memberi peringkat Sistem Otonom dengan jumlah terbesar resolver DNS terbuka di ruang alamat IP mereka. Yang teratas, dikendalikan oleh Terra Networks Chile, berisi lebih dari 3.200 resolver terbuka dalam genangan sekitar 1,3 juta IP. Yang kedua, dikendalikan oleh Telecomunicacoes de Santa Catarina (TELESC) - bagian dari Oi, operator telekomunikasi terbesar di Brasil - berisi hampir 3.000 resolvers dalam ruang 6,3 juta alamat IP.

“Harus ditekankan nama server rekursif terbuka bukan masalah dalam diri mereka; itu adalah mis-konfigurasi dari nameserver di mana masalah yang potensial muncul, ”kata HostExploit dalam laporannya.