- Door
- Arnout Veenman
- geplaatst op
- 17 november 2009 08:00 uur
Het grootste deel van de ADSL en kabel modems is niet goed geconfigureerd. Hierdoor fungeren de modems als open recursive DNS-server. Aanvallers kunnen de modems daardoor eenvoudig misbruiken om een DDoS-aanval te starten, meldt ITworld.
Het probleem is volgens de onderzoek van Infoblox de laatste jaren groter geworden dan ooit. In 2007 was ongeveer de helft van de modems slecht geconfigureerd, dit jaar is het aandeel modems met een open recursive DNS-server toegenomen tot 80 procent. Infoblox baseert zich hier op gegevens van The Measurement Factory dat ongeveer 5% van alle IP-adressen zegt gescand te hebben.
Ondanks het risico van de open recursive DNS-servers, komen zogenaamde DDoS amplificatie aanvallen volgens Measurement Factory directeur Duane Wessels maar relatief weinig voor. Wessels weet niet wat daar de oorzaak van is.
Een DDoS amplificatie aanval werkt door een DNS-query van enkele tientallen bytes vanaf een gespoofd IP-adres te sturen naar verschillende open recursive DNS-servers. De DNS-servers in kwestie sturen een DNS-response van wel enkele kilobytes groot terug naar het aan te vallen IP-adres. De aanvaller kan op deze manier vanaf één host een DDoS-aanval starten vanaf duizenden hosts met wel honderd keer meer bandbreedte dan hij zelf tot zijn beschikking heeft.