Το Fein Site Porn δημιουργεί νέα επίθεση DNS

Η επίθεση είναι γνωστή ως ενίσχυση DNS. Έχει χρησιμοποιηθεί σποραδικά από τον Δεκέμβριο, αλλά άρχισε να μιλάει για τον περασμένο μήνα, όταν ο ISPrime, ένας μικρός πάροχος υπηρεσιών της Νέας Υόρκης, άρχισε να χτυπά σκληρά με την επίθεση DDOS. Η επίθεση ξεκίνησε από τον χειριστή μιας πορνογραφικής ιστοσελίδας που προσπαθούσε να κλείσει έναν ανταγωνιστή που φιλοξένησε το δίκτυο της ISPrime, σύμφωνα με τον επικεφαλής της τεχνολογίας Phil Rossenthal

Η επίθεση κατά του ISPrime ξεκίνησε το πρωί της Κυριακής, 18 Ιανουαρίου. Διήρκεσε περίπου μια μέρα, αλλά αυτό που ήταν αξιοσημείωτο ήταν ότι ένας σχετικά μικρός αριθμός υπολογιστών ήταν σε θέση να δημιουργήσει ένα πολύ μεγάλο όγκο κίνησης στο δίκτυο.

[Περαιτέρω ανάγνωση: Καλύτερα πλαίσια NAS για streaming media και backup]

Μια μέρα αργότερα, ακολούθησε μια παρόμοια επίθεση, με διάρκεια τριών ημερών. Πριν η ISPrime κατάφερε να φιλτράρει την ανεπιθύμητη κίνηση, οι επιτιθέμενοι μπόρεσαν να χρησιμοποιήσουν περίπου 5GB / δευτερόλεπτο από το εύρος ζώνης της εταιρείας,

Με λίγη δουλειά, το προσωπικό της Rosenthal ήταν σε θέση να φιλτράρει την εχθρική κυκλοφορία, "Σύμφωνα με τον Ντον Τζάκσον, διευθυντή της υπηρεσίας πληροφοριών απειλών στον προμηθευτή ασφάλειας SecureWorks, μπορούμε σύντομα να δούμε πολύ περισσότερα από αυτά τα συστήματα DNS Enhancement επιθέσεις. Αργά την περασμένη εβδομάδα, οι φορείς εκμετάλλευσης botnet, οι οποίοι ενοικιάζουν τα δίκτυα ηλεκτρονικών υπολογιστών που έχουν μολυνθεί από τον υπολογιστή, στον υπερθεματιστή, άρχισαν να προσθέτουν προσαρμοσμένα εργαλεία ενίσχυσης του DNS στα δίκτυά τους. <<<> "Όλοι το πήραν τώρα», είπε. "Το επόμενο μεγάλο DDOS σε κάποια πρώην σοβιετική δημοκρατία, θα το δείτε αυτό, είμαι βέβαιος."

Ένα από τα πράγματα που κάνει μια επίθεση ενίσχυσης DNS ιδιαίτερα δυσάρεστο είναι το γεγονός ότι στέλνοντας ένα πολύ μικρό πακέτο ένας νόμιμος διακομιστής DNS, λέει 17 bytes, ο επιτιθέμενος μπορεί στη συνέχεια να εξαπατήσει τον διακομιστή να στείλει ένα πολύ μεγαλύτερο πακέτο - περίπου 500 bytes --- στο θύμα της επίθεσης. Με την παραποίηση της πηγής του πακέτου, ο επιτιθέμενος μπορεί να το κατευθύνει σε συγκεκριμένα τμήματα του δικτύου του θύματος του.

Ο Jackson εκτιμά ότι η επίθεση 5GB / δευτερόλεπτο κατά της ISPrime επιτεύχθηκε με μόλις 2.000 υπολογιστές, οι οποίοι έστειλαν παρωχημένα πακέτα σε χιλιάδες νόμιμους nameservers, όλα τα οποία άρχισαν να πλημμυρίζουν το δίκτυο ISPrime. Το Rosenthal της ISPrime λέει ότι περίπου 750.000 νόμιμοι διακομιστές DNS χρησιμοποιήθηκαν για την επίθεση στο δίκτυό του.

Νωρίτερα αυτή την εβδομάδα, η SecureWorks παρήγαγε μια τεχνική ανάλυση της επίθεσης ενίσχυσης DNS.

Η επίθεση δημιουργεί πολλές συζητήσεις μεταξύ των ειδικών του DNS, σύμφωνα με τον Duane Wessels, υπεύθυνο προγράμματος με το DNS-OARC (Κέντρο Επιχειρησιακής Ανάλυσης και Έρευνας), που εδρεύει στο Redwood City της Καλιφόρνια.

"Η ανησυχία είναι ότι αυτό το είδος επίθεσης θα μπορούσε να χρησιμοποιηθεί σε πιο υψηλού προφίλ στόχους"

Ένα από τα πράγματα που κάνει την επίθεση ιδιαίτερα δυσάρεστο είναι ότι είναι πολύ δύσκολο να προστατευθεί.

«Από όσο γνωρίζω, η μόνη πραγματική άμυνα που έχετε είναι να ζητήσετε από τον προηθευτή σας να φιλτράρει [την κακόβουλη κίνηση], "είπε. "Το σύστημα DNS, ένα είδος υπηρεσίας υποστήριξης καταλόγου για το Διαδίκτυο, έχει εξεταστεί όλο και περισσότερο κατά το παρελθόν έτος, όταν ο χάκερ Dan Kaminsky ανακάλυψε ένα σοβαρό ελάττωμα στο σύστημα. Αυτό το ελάττωμα, το οποίο έχει ήδη διορθωθεί από κατασκευαστές λογισμικού DNS, θα μπορούσε να εκμεταλλευτεί για να ανακατευθύνει σιωπηρά την κίνηση στο Διαδίκτυο σε κακόβουλο υπολογιστή χωρίς την γνώση του θύματος.

Το DNS-OARC δημοσίευσε ορισμένες πληροφορίες σχετικά με τον τρόπο αποφυγής χρήσης των διακομιστών BIND DNS σε μια από αυτές τις επιθέσεις. Η Microsoft δεν μπόρεσε να παράσχει αμέσως πληροφορίες για το πώς να μετριάσει αυτή τη συγκεκριμένη επίθεση στα δικά της προϊόντα, αλλά η καθοδήγησή της σχετικά με την ανάπτυξη ασφαλών διακομιστών DNS βρίσκεται εδώ