Problema DNS collegato agli attacchi DDoS Ottiene peggio

Sicurezza Internet esperti affermano che DSL e modem via cavo mal configurati stanno peggiorando un noto problema con il DNS di Internet (sistema dei nomi di dominio), rendendo più facile agli hacker lanciare attacchi DDoS (Denial of Service) contro le loro vittime.

Secondo alla ricerca che verrà rilasciata nei prossimi giorni, parte del problema è attribuita al crescente numero di dispositivi consumer su Internet configurati per accettare query DNS da qualsiasi luogo, quali esperti di networking chiamano "open ricorsive" o "open" risolutore ". Mentre sempre più consumatori richiedono Internet a banda larga, i provider di servizi stanno installando modem configurati in questo modo per i loro clienti, ha affermato Cricket Liu, vice presidente dell'architettura con Infoblox, la società di appliance DNS che ha sponsorizzato la ricerca. "I due principali colpevoli che abbiamo riscontrato sono stati Telefonica e France Telecom", ha detto.

Infatti, la percentuale di sistemi DNS su Internet configurati in questo modo è passata da circa il 50% nel 2007 a quasi l'80% di questo anno, secondo Liu.

[Ulteriori letture: i migliori NAS per lo streaming multimediale e il backup]

Sebbene non abbia visto i dati Infoblox, il ricercatore della Georgia Tech David Dagon concorda sul fatto che i sistemi ricorsivi aperti sono in aumento, in parte a causa di "l'aumento delle appliance di rete domestiche che consentono più computer su Internet".

"Quasi tutti gli ISP distribuiscono un dispositivo DSL / via cavo domestico", ha affermato in un'intervista via e-mail. "Molti dispositivi dispongono di server DNS integrati, che a volte possono essere inviati in stati" aperti per impostazione predefinita ".

Poiché i modem configurati come server ricorsivi aperti rispondono alle query DNS da chiunque su Internet, possono essere utilizzati in ciò che è noto come attacco di amplificazione DNS.

In questo attacco, gli hacker inviano messaggi di query DNS falsificati al server ricorsivo, inducendoli a rispondere al computer di una vittima. Se i cattivi sanno cosa stanno facendo, possono inviare un piccolo messaggio da 50 byte a un sistema che risponderà inviando la vittima fino a 4 kilobyte di dati. Afferrando diversi server DNS con queste query spoofed, gli hacker possono sopraffare le loro vittime e metterle effettivamente fuori uso.

Gli esperti DNS hanno conosciuto il problema della configurazione ricorsiva aperta per anni, quindi è sorprendente che i numeri salgano.

Tuttavia, secondo Dagon, una questione più importante è il fatto che molti di questi dispositivi non includono patch per un difetto DNS ampiamente pubblicizzato scoperto dal ricercatore Dan Kaminsky l'anno scorso. Questo difetto potrebbe essere usato per ingannare i proprietari di questi dispositivi nell'usare server Internet controllati dagli hacker senza mai rendersi conto di essere stati ingannati.

Infoblox stima che il 10% dei server ricorsivi aperti su Internet non siano stati corretti.

Il sondaggio Infoblox è stato condotto da The Measurement Factory, che ottiene i suoi dati analizzando circa il 5% degli indirizzi IP su Internet. I dati verranno pubblicati qui nei prossimi giorni.

Secondo il presidente della Measurement Factory, Duane Wessels, si verificano attacchi di amplificazione DNS, ma non sono la forma più comune di attacco DDoS. "Quelli di noi che li monitorano e ne sono consapevoli tendono ad essere un po 'sorpresi dal fatto che non vediamo più attacchi che usano risolutori aperti", ha detto. "È una specie di enigma".

Wessels crede che il passaggio allo standard IPv6 di prossima generazione possa inavvertitamente contribuire al problema. Alcuni modem sono configurati per utilizzare il software server DNS chiamato Trick o Tread Daemon (TOTd), che converte gli indirizzi tra i formati IPv4 e IPv6. Spesso questo software è configurato come un risolutore aperto, ha detto Wessels.