开放和错误配置的DNS(域名系统)解析器越来越多地用于放大分布式拒绝服务(DDoS)攻击,根据HostExploit周三发布的一个报告,该组织追踪涉及网络犯罪活动的互联网主机。
在最新一期的“世界主机报告”中,涵盖2012年第三季度,该组织包括有关开放式DNS解析程序和自治系统的数据 - 由网络运营商控制的大型互联网协议(IP)地址块 - 它们位于何处d。
这是因为,根据HostExploit的说法,错误配置的开放式DNS解析程序 - 任何人都可以用来将域名解析为IP地址的服务器 - 越来越多地滥用于发动强大的DDoS攻击。
[更多阅读:How从您的Windows PC中移除恶意软件]DNS放大攻击可追溯到10多年前,它基于小型DNS查询可能导致显着更大的DNS响应这一事实。
攻击者可将恶意DNS请求发送给大量开放的DNS解析器,并使用欺骗来使它看起来好像这些请求源自目标的IP地址。因此,解析器会将其较大的响应发送回受害者的IP地址,而不是发送者的地址。
除了具有放大效果外,该技术还使受害者很难确定受害者的原始来源攻击,并且也使得被滥用的开放式DNS解析器查询的DNS链上更高的名称服务器不可能看到受害者的IP地址
“这些非托管开放式递归存在的事实允许攻击者可以从其滥用大量记录的权威服务器运营商混淆实际DDoS攻击目标的IP地址,“DDoS防护供应商Arbor Networks的安全与工程响应团队解决方案架构师Roland Dobbins周四透过电子邮件。
“同样重要的是,DNSSEC的部署使得DNS反射/放大攻击变得容易得多,因为攻击者会刺激f或者他选择的任何查询至少有1300字节,“Dobbins说,”尽管这种攻击方法已经被多年知晓,“HostDoPloit的Bryn Thompson周三写道:”DDoS放大现在使用的频率更高,并且具有破坏性的影响。 “我们最近看到了这一点,我们看到它在不断增加,”DDoS缓解厂商Prolexic的首席运营官Neal Quinn周四通过电子邮件表示,“这项技术允许相对较小的僵尸网络为他们的目标制造大洪水,“奎恩说。 “这个问题非常严重,因为它会产生大量的流量,如果不使用云缓解提供商,很难管理很多网络。”
Dobbins无法立即分享任何关于最近基于DNS的频率的数据DDoS放大攻击,但指出SNMP(简单网络管理协议)和NTP(网络时间协议)反射/放大攻击“也会产生非常大的,压倒性的攻击大小。”
在其报告中,HostExploit将自治系统在其IP地址空间中的最大数量的开放式DNS解析器。由Terra Networks Chile控制的最大的一个包含超过3,200名开放式解决方案人员,大约有130万个IP地址池。第二个由Telecomunicacoes de Santa Catarina(TELESC)控制 - 目前是巴西最大的电信运营商Oi的一部分 - 在630万个IP地址的空间中包含近3,000个解析器。
“应该强调,开放式递归域名服务器本身并不是问题;它是潜在问题所在的域名服务器的错误配置,“HostExploit在其报告中表示,