Report: Open resolver DNS sempre più abusato per amplificare gli attacchi DDoS

I resolver DNS (Domain Name System) aperti e mal configurati sono sempre più utilizzati per amplificare le distribuzioni attacchi DDoS (denial-of-service), secondo un rapporto pubblicato mercoledì da HostExploit, un'organizzazione che tiene traccia degli host Internet coinvolti in attività criminali informatiche.

Nell'ultima edizione del suo World Hosts Report, che copre il terzo trimestre del 2012, l'organizzazione includeva dati sui risolutori DNS aperti e sui sistemi autonomi - grandi blocchi di indirizzi IP (Internet Protocol) controllati dagli operatori di rete - dove sono localizzati d.

Questo perché, secondo HostExploit, i risolutori DNS aperti configurati in modo errato - server che possono essere utilizzati da chiunque per risolvere i nomi di dominio in indirizzi IP - sono sempre più abusati per lanciare potenti attacchi DDoS.

[Ulteriori letture: How per rimuovere il malware dal PC Windows] Gli attacchi di amplificazione

DNS risalgono a più di 10 anni e si basano sul fatto che le piccole query DNS possono generare risposte DNS significativamente più grandi.

Un utente malintenzionato può inviare richieste DNS non autorizzate a un un numero elevato di risolutori DNS aperti e utilizzare lo spoofing per farlo apparire come se tali richieste provenissero dall'indirizzo IP della destinazione. Di conseguenza, i risolutori invieranno le loro risposte di grandi dimensioni all'indirizzo IP della vittima anziché all'indirizzo del mittente.

Oltre ad avere un effetto di amplificazione, questa tecnica rende molto difficile per la vittima determinare la fonte originale del attacco e inoltre rende impossibile per i name server più in alto sulla catena DNS che vengono interrogati dai resolver DNS aperti abusati per vedere l'indirizzo IP della vittima.

"Il fatto che esistano così tanti di questi recursori aperti non gestiti consente attaccanti per offuscare gli IP di destinazione degli obiettivi DDoS effettivi dagli operatori dei server autorevoli i cui ampi record stanno abusando ", ha dichiarato Roland Dobbins, architetto di soluzioni nel Security & Engineering Response Team presso il fornitore di protezione DDoS Arbor Networks, giovedì via email.

"È anche importante notare che l'implementazione di DNSSEC ha reso gli attacchi di riflessione / amplificazione DNS un po 'più semplici, poiché la risposta più piccola che l'attaccante stimolerà o qualsiasi query che sceglie è di almeno 1300 byte ", ha detto Dobbins.

Anche se questo metodo di attacco è noto da anni," l'amplificazione DDoS viene utilizzata molto più frequentemente ora e con effetti devastanti ", ha scritto Mercoledì Bryn Thompson di HostExploit in un post del blog.

"Lo abbiamo visto di recente e lo vediamo crescere", ha detto giovedì via e-mail Neal Quinn, il direttore operativo del fornitore di mitigazione DDoS Prolexic.

"Questa tecnica consente a botnet relativamente piccole di creare grandi alluvioni verso il loro obiettivo ", ha detto Quinn. "Il problema è serio perché crea grandi volumi di traffico, che può essere difficile da gestire per molte reti senza l'uso di un provider di mitigazione del cloud."

Dobbins non è stato in grado di condividere immediatamente i dati relativi alla recente frequenza di DNS Gli attacchi di amplificazione DDoS, ma hanno osservato che gli attacchi SNMP (Simple Network Management Protocol) e NTP (Network Time Protocol) di riflessione / amplificazione "possono anche generare dimensioni di attacco molto grandi e travolgenti."

Nel suo rapporto HostExploit classificava i Sistemi Autonomi con il maggior numero di resolver DNS aperti nei loro spazi di indirizzi IP. Il primo, controllato da Terra Networks Chile, contiene oltre 3.200 risolutori aperti in un pool di circa 1,3 milioni di IP. Il secondo, controllato da Telecomunicacoes de Santa Catarina (TELESC), ora parte di Oi, il più grande operatore di telecomunicazioni del Brasile, contiene quasi 3.000 risolutori in uno spazio di 6,3 milioni di indirizzi IP.

"Va sottolineato che i nameserver ricorsivi aperti non sono un problema in sé stessi; è la configurazione errata di un server dei nomi in cui risiede il potenziale problema ", ha dichiarato HostExploit nel suo rapporto.