Il sito porno Feud genera nuovi attacchi DNS

Uno scarto tra due siti Web pornografici diventava cattivo quando si capiva come eliminare l'altro sfruttando una stranezza precedentemente sconosciuta nel Domain Name System (DNS) di Internet.

L'attacco è noto come Amplificazione DNS. È stato usato sporadicamente da dicembre, ma ha iniziato a parlare del mese scorso quando ISPrime, un piccolo fornitore di servizi Internet di New York, ha iniziato a essere colpito duramente con un attacco DDoS (Distributed Denial of Service). L'attacco è stato lanciato dall'operatore di un sito Web pornografico che stava cercando di chiudere un concorrente, ospitato nella rete di ISPrime, secondo Phil Rosenthal, responsabile della tecnologia dell'azienda.

L'attacco a ISPrime è iniziato il mattino di domenica, 18 gennaio. Durò circa un giorno, ma ciò che era notevole era che un numero relativamente piccolo di PC era in grado di generare una grande quantità di traffico sulla rete.

[Ulteriori letture: I migliori NAS per lo streaming multimediale e backup]

Un giorno dopo, è seguito un attacco simile, della durata di tre giorni. Prima che ISPrime fosse in grado di filtrare il traffico indesiderato, gli hacker erano in grado di consumare circa 5 GB / secondo di larghezza di banda della società,

Con un po 'di lavoro, lo staff di Rosenthal era in grado di filtrare il traffico ostile, ma in un e- intervista per posta ha detto che l'attacco "rappresenta una tendenza inquietante nella sofisticazione degli attacchi denial of service".

Secondo Don Jackson, direttore delle informazioni sulle minacce presso il fornitore di sicurezza SecureWorks, potremmo presto vedere molto più di queste amplificazioni DNS attacchi. Alla fine della scorsa settimana, gli operatori di botnet, che affittano le loro reti di computer hacker al miglior offerente, hanno iniziato ad aggiungere strumenti di amplificazione DNS personalizzati alle loro reti.

"Tutti lo hanno raccolto ora", ha detto. "Il prossimo grande DDOS in qualche ex repubblica sovietica, lo vedrai accennato, ne sono sicuro."

Una delle cose che rende un attacco di amplificazione DNS particolarmente sgradevole è il fatto che inviando un pacchetto molto piccolo a un server DNS legittimo, diciamo 17 byte, l'utente malintenzionato può ingannare il server per inviare un pacchetto molto più grande - circa 500 byte - alla vittima dell'attacco. Spogliando la fonte del pacchetto, l'attaccante può dirigerlo in specifiche parti della rete della sua vittima.

Jackson stima che l'attacco da 5 GB al secondo contro ISPrime sia stato realizzato con soli 2000 computer, che inviavano pacchetti contraffatti a migliaia di legittimi nameserver, i quali hanno iniziato a inondare la rete ISPrime. Rosenthal di ISPrime afferma che circa 750.000 server DNS legittimi sono stati utilizzati nell'attacco alla sua rete.

All'inizio di questa settimana, SecureWorks ha prodotto un'analisi tecnica dell'attacco di amplificazione DNS.

L'attacco sta generando molte discussioni tra esperti DNS, secondo Duane Wessels, direttore del programma con DNS-OARC (Operations Analysis and Research Center), con sede a Redwood City, California.

"La preoccupazione è che questo tipo di attacco possa essere utilizzato su obiettivi di più alto profilo"

Una delle cose che rende particolarmente pericoloso l'attacco è che è molto difficile da proteggere.

"Per quanto ne so, l'unica vera difesa che hai è chiedere al tuo provider upstream di filtrare [il traffico dannoso], "ha detto. "Non è qualcosa che la vittima può fare da sola, ha bisogno della collaborazione del fornitore."

Il sistema DNS, una sorta di servizio di directory assistance per Internet, è stato sottoposto a un controllo accurato lo scorso anno, quando l'hacker Dan Kaminsky scoperto un grave difetto nel sistema. Quel difetto, che ora è stato corretto dai creatori di software DNS, potrebbe essere sfruttato per reindirizzare silenziosamente il traffico Internet a computer dannosi senza che la vittima ne sia a conoscenza.

DNS-OARC ha pubblicato alcune informazioni su come impedire l'utilizzo dei server DNS BIND in uno di questi attacchi. Microsoft non è stata in grado di fornire immediatamente informazioni su come mitigare questo particolare attacco sui propri prodotti, ma le sue indicazioni sulla distribuzione di server DNS sicuri sono disponibili qui.