Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

Nieuw soort DDoS-aanval die DNS-servers misbruikt ontdekt

  • Door
  • Veenman
  • geplaatst op
  • 9 februari 2009 08:12 uur

Voor DDoS-aanvallen worden er veelal botnets gebruikt bestaande uit duizenden tot miljoenen zombie pc’s. Door security onderzoekers is nu een mogelijkheid ontdekt om een succesvolle DDoS-aanval te lanceren met een botnet dat bestaat uit veel minder zombie pc’s, door misbruik te maken van DNS-servers én met vrijwel alle DNS-servers werkt in plaats van enkel met slecht geconfigureerde.

Dat het mogelijk is om DDoS-aanvallen met behulp van DNS-servers uit te voeren is, werd in 2006 al ontdekt. Het werkt door het sturen van een DNS queries naar de DNS-servers die worden misbruikt om de DDoS-aanval uit te voeren. De aanvaller doet net alsof de DNS queries afkomstig zijn vanaf het IP-adres (spoofing) van de server die moet worden aangevallen. De DNS-servers sturen hun antwoord terug naar de server die wordt aangevallen.

De truc is dat de DNS queries die worden verstuurd door het botnet naar de DNS-servers relatief klein is, terwijl het antwoord dat terug wordt gestuurd velen malen groter is, waardoor een relatief klein botnet met behulp van de DNS-servers volgens security onderzoekers, DDoS-aanvallen van 10 Gbps zijn gelanceerd met behulp van 140.000 DNS-servers.

De aanvalsmethode met DNS-servers die in 2006 werd ontdekt werkte enkel met recursive DNS-servers, waardoor dit enkel mogelijk was met behulp van slecht geconfigureerde DNS-servers. De nieuwe aanvalsmethode kent deze beperking niet, waardoor nu vrijwel alle DNS-servers kunnen worden misbruikt voor DDoS-aanvallen.

De nieuwe aanvalsmethode werkt door een NS (nameserver) query van  . (punt), het root-domein, die afkomstig lijkt vanaf het IP-adres van de aan te vallen server te sturen naar de te misbruiken DNS-servers te sturen. Deze nameservers heeft vrijwel elke DNS-server lokaal in een lijstje staan, waardoor er geen query naar een andere DNS-server wordt gemaakt om deze op te vragen. Hierdoor zal vrijwel elke DNS-server, ook die niet recursive zijn, de query beantwoorden en de enorme lijst met root nameservers naar de server die wordt aangevallen sturen.

Volgens Don Jackson, director of threat intelligence van SecureWorks, zal deze nieuwe aanvalsmethode met zekerheid worden gebruikt voor toekomstige DDoS-aanvallen.

Jurri@n, 9 februari 2009 9:07 am

Beetje storm in een glas water lijkt mij. Als je je DNS-server goed configureerd, wil deze machine alleen recursive zijn voor de IP's van je eigen netwerk (dus een gespoofed adres dat buiten je netwerk ligt heeft geen zin). Daarnaast dien je alleen voor de zones die je zelf draait requests toe te staan. de root-zone draai je niet zelf (en gebruik je alleen voor recursive lookups) en een request hiervoor ga je dus ook niet beantwoorden.

Dus volgens mij heeft het nog steeds met slecht geconfigureerde servers te maken (al maakt misschien een groot deel van de administrators de fout door requests voor de root-zone toe te staan vanaf ieder IP).

Daniel, 9 februari 2009 9:57 am

@Jurri@n: storm in een glas water? De DDoS op oa NetSol en ISPrime zijn zeker langs je heen gegaan?

Andries Louw Wolthuizen, 9 februari 2009 6:56 pm

Ik kom er net achter dat Bind ook met de optie "no-recursion" nog steeds reageert op requests door de "authority-records" (root-servers dus) terug te sturen.

Lijkt me dus toch een vrij ernstig probleem, omdat Bind een zeer veel gebruikt wordt, en dus in de configuratie die o.a. standaard op DirectAdmin installaties staat, met no-recursion, gevoelig lijkt om misbruikt te worden voor dit soort aanvallen.

Getest met http://network-tools.com/nslook/Default.asp door google.com bij "domain" in te vullen, en het adres van een DA-server in "server".

JP, 9 februari 2009 8:38 pm

@andries

Maak het bestand /var/named/named.ca leeg (niet verwijderen), named herstarten en klaar.

Lennie, 10 februari 2009 1:57 am

Volgens mij zoek je voor bind:

recursion no;
additional-from-auth no;
additional-from-cache no;

Zie hier voor meer info:

http://www.cymru.com/Documents/secure-bind-template.html

Maar waarom niet gewoon PowerDNS van eigen bodem gebruiken die heef dat probleem niet. ;-)

Andries Louw Wolthuizen, 10 februari 2009 11:25 am

@Lennie:
Dat lijkt inderdaad de oplossing, "additional-from-auth" dan vooral. Bedankt.

PowerDNS wordt niet ondersteund door DirectAdmin, nu is dat natuurlijk op de lossen door Bind en PowerDNS naast elkaar te draaien, waarbij Bind alleen maar AXFR-ed naar PowerDNS, maar dat is qua beheer weer lastiger.

Mark Scholten, 10 februari 2009 3:49 pm

@Andries Louw Wolthuizen:
PowerDNS wordt niet standaard ondersteund inderdaad, echter kan Bind uitstaan en PowerDNS kan de Bind bestanden uitlezen. Met enkele kleine aanpassingen draait het dan zonder problemen.

Randy ten Have, 10 februari 2009 4:07 pm

Uitlezen?! AXFR/IXFR bedoel je... Gewoon een standaard protocol. Twee regeltjes in je named.conf en de pdns/supermaster 'leest' je bestand uit.

Dick Tump (Shock Media), 10 februari 2009 5:50 pm

Volgens mij doelt mark met uitlezen op de bind file backend van pdns: http://downloads.powerdns.com/documentation/html/bindbackend.html

Of mijn denkwijze is erg krom :)

Mark Scholten, 11 februari 2009 2:52 am

@Randy en Dick:
Ik doel inderdaad op de mogelijkheid om bind files voor de backend van PowerDNS te gebruiken. Die andere optie (dus met AXFR/IXFR) gebruik ik zelf overigens wel, de methode met de bind bestanden heb ik nog nooit getest en enkel over gelezen in de PowerDNS documentatie.

Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Bedankt voor het succes van ISPam.nl
Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

Bedankt voor het succes van ISPam.nl
L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

Bedankt voor het succes van ISPam.nl
Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

Bedankt voor het succes van ISPam.nl
Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.