Хакеры используют серверы DNS для организации DDoS-атак

30/03/2006 16:33

Новая методика позволяет упростить организацию распределенных атак типа DDoS. Всю «грязную работу» выполняют серверы DNS, которые выступают невольными сообщниками. Раньше для проведения атак типа «отказ-в-обслуживании» (DDoS-атака; флудинг сервера) использовались, главным образом, сети из нескольких тысяч зараженных ПК, которые отправляли запросы напрямую на сервер жертвы. Но сейчас получила распространение новая методика, при которой DDoS-атаки организуются с зараженных ПК через серверы DNS. Опасность в том, что теперь организовать масштабную атаку стало проще – для этого требуется гораздо меньше подконтрольных ПК. Эту новую тенденцию комментируют эксперты по безопасности в статье News.com. «DNS сейчас стал основным вектором в организации DDoS-атак, – говорит Дэн Камински, известный эксперт по сетевой безопасности. – Планка снизилась. Люди с меньшими ресурсами теперь могут запустить потенциально вредоносные атаки». Новый тип атаки предполагает, что с зараженных ПК отправляется множество запросов на открытые серверы DNS. Эти запросы подделываются таким образом, как будто они исходят с сервера жертвы. Сервер DNS генерирует ответный трафик, который отправляется жертве. Ответный трафик в десятки раз превосходит по объему исходный запрос. Таким образом, хакеры используют DNS, чтобы многократно усилить мощность DDoS-атаки. Подробнее об этом можно почитать в документе “DNS Amplification Attacks" (PDF, 220 КБ), где подробно описывается эта техника. Кроме того, посредничество DNS-серверов – это еще одна степень защиты для хакера, возможность более надежно замести следы и скрыть истинный источник нападения. В некотором отношении новый тип DDoS-атак является более опасным. Если раньше нападение «зомби» можно было блокировать по их IP-адресам, то вот блокировать трафик с DNS-серверов довольно проблематично. Согласно недавним исследованиям, только на 57% серверов DNS (а всего их в интернете около 7,5 млн) установлена последняя, самая защищенная версия программы BIND. Остальные же серверы оставляют злоумышленникам те или иные лазейки. Примерно 1,3 млн DNS-серверов разрешают перенаправление DNS-запросов при запросах с любого IP-адреса.
Подробности