DNS เชื่อมโยงกับการโจมตีแบบ DDoS Gets เลวร้ายยิ่งกว่า

ผู้เชี่ยวชาญกล่าวว่าโมเด็ม DSL และเคเบิลล้มเหลวในทางที่เลวร้ายยิ่งทำให้ปัญหาที่รู้จักกันดีในระบบ DNS (ระบบชื่อโดเมน) ของอินเทอร์เน็ตทำให้แฮกเกอร์สามารถโจมตีโจมตีแบบกระจาย (Denial-of-Service - DDoS) ได้ง่ายขึ้นสำหรับผู้ที่ตกเป็นเหยื่อของพวกเขา

การค้นคว้าชุดนี้จะถูกปล่อยออกมาในไม่กี่วันข้างหน้าส่วนหนึ่งของปัญหานี้ถูกกล่าวหาว่าเป็นจำนวนมากขึ้นของอุปกรณ์ผู้บริโภคบนอินเทอร์เน็ตที่ได้รับการกำหนดค่าให้ยอมรับการสอบถาม DNS จากที่ใดก็ได้ซึ่งผู้เชี่ยวชาญด้านระบบเครือข่ายเรียกว่า "open recursive" หรือ "open แก้ปัญหา " เนื่องจากผู้บริโภคต้องการอินเทอร์เน็ตบรอดแบนด์ผู้ให้บริการจึงเปิดตัวโมเด็มที่กำหนดค่าให้กับลูกค้าของตนกล่าวว่าคริกเก็ตหลิวรองประธานฝ่ายสถาปัตยกรรมร่วมกับ Infoblox ซึ่งเป็น บริษัท ผู้ผลิตอุปกรณ์ DNS ที่สนับสนุนการวิจัย "สองผู้ร้ายชั้นนำที่เราพบคือ Telefonica และ France Telecom" เขากล่าว

ในความเป็นจริงเปอร์เซ็นต์ของระบบ DNS บนอินเทอร์เน็ตที่มีการกำหนดค่าด้วยวิธีนี้ได้เพิ่มขึ้นจากประมาณ 50 เปอร์เซ็นต์ในปี 2007 ไปแล้วเกือบ 80 เปอร์เซ็นต์ ปีตามที่หลิว

[อ่านเพิ่มเติม: กล่อง NAS ที่ดีที่สุดสำหรับสตรีมมิ่งสื่อและการสำรองข้อมูล]

แม้ว่าเขาจะไม่ได้เห็นข้อมูล Infoblox, จอร์เจียเทคนักวิจัย David Dagon ตกลงว่าระบบแบบเรียกซ้ำเปิดเพิ่มขึ้น, ส่วนหนึ่งเป็นเพราะ "การเพิ่มขึ้นของเครื่องใช้เครือข่ายภายในบ้านที่อนุญาตให้ใช้คอมพิวเตอร์หลายเครื่องบนอินเทอร์เน็ต"

"ผู้ให้บริการอินเทอร์เน็ตเกือบทั้งหมดจำหน่ายอุปกรณ์ DSL / Cable ที่บ้าน" เขากล่าวในการสัมภาษณ์ทางอีเมล "อุปกรณ์หลายเครื่องมีเซิร์ฟเวอร์ DNS ในตัวซึ่งบางครั้งสามารถจัดส่งได้ในสถานะ" เปิดโดยค่าเริ่มต้น ""

เนื่องจากโมเด็มที่กำหนดค่าเป็นเซิร์ฟเวอร์แบบเรียกซ้ำแบบเปิดจะตอบคำถาม DNS จากทุกคนบนอินเทอร์เน็ตสามารถใช้งานได้ สิ่งที่เรียกว่าการโจมตีด้วยการขยาย DNS

ในการโจมตีครั้งนี้แฮกเกอร์จะส่งข้อความค้นหา DNS ปลอมแปลงไปยังเซิร์ฟเวอร์ recursive หลอกล่อให้เครื่องตอบรับกับคอมพิวเตอร์ของเหยื่อ ถ้าคนเลวรู้ว่าตนทำอะไรพวกเขาสามารถส่งข้อความขนาดเล็ก 50 ไบต์ไปยังระบบที่ตอบสนองได้โดยส่งเหยื่อให้มากถึง 4 กิโลไบต์ ผู้บุกรุกสามารถครอบงำผู้ที่ตกเป็นเหยื่อได้อย่างมีประสิทธิภาพและสามารถกระแทกได้แบบออฟไลน์

ผู้เชี่ยวชาญด้าน DNS รู้จักปัญหาการตั้งค่าคอนฟิกูเรชันแบบเปิดมาหลายปีแล้วจึงน่าแปลกใจที่ตัวเลขจะกระโดดขึ้น

อย่างไรก็ตามตาม Dagon ประเด็นสำคัญคือความจริงที่ว่าอุปกรณ์เหล่านี้จำนวนมากไม่รวมแพทช์สำหรับข้อบกพร่อง DNS ที่เผยแพร่อย่างกว้างขวางโดยนักวิจัย Dan Kaminsky เมื่อปีที่แล้ว ข้อบกพร่องดังกล่าวอาจถูกนำมาใช้เพื่อหลอกลวงเจ้าของอุปกรณ์เหล่านี้ให้ใช้เซิร์ฟเวอร์อินเทอร์เน็ตที่ควบคุมโดยแฮกเกอร์โดยที่ไม่เคยรู้เลยว่าพวกเขาถูกหลอกลวง

Infoblox ประมาณการว่า 10% ของเซิร์ฟเวอร์แบบรีโพสต์แบบเปิดบนอินเทอร์เน็ตยังไม่ได้รับการติดตั้ง

การสำรวจ Infoblox ได้ดำเนินการโดย The Measurement Factory ซึ่งได้รับข้อมูลโดยการสแกนประมาณ 5 เปอร์เซ็นต์ของที่อยู่ IP บนอินเทอร์เน็ต ข้อมูลจะถูกโพสต์ที่นี่ในอีกไม่กี่วันข้างหน้า

ตามที่ Measurement Factory ประธาน Duane Wessels มีการโจมตี DNS amplification เกิดขึ้น แต่ก็ไม่ใช่รูปแบบการโจมตี DDoS ที่พบมากที่สุด "บรรดาพวกเราที่ติดตามเหตุการณ์เหล่านี้และทราบว่ามีแนวโน้มที่จะแปลกใจเล็กน้อยที่เราไม่เห็นการโจมตีเพิ่มเติมที่ใช้ตัวแก้แบบเปิด" เขากล่าว "มันเป็นเรื่องของปริศนา"

Wessels เชื่อว่าการก้าวไปสู่มาตรฐาน IPv6 ยุคหน้าอาจทำให้เกิดปัญหาโดยไม่ได้ตั้งใจ โมเด็มบางตัวได้รับการกำหนดค่าให้ใช้ซอฟต์แวร์เซิร์ฟเวอร์ DNS ที่เรียกว่า Trick หรือ Tread Daemon (TOTd) ซึ่งจะแปลงที่อยู่ระหว่างรูปแบบ IPv4 และ IPv6 บ่อยครั้งที่ซอฟต์แวร์นี้ถูกกำหนดค่าเป็นตัวแก้ปัญหาแบบเปิด Wessels กล่าวว่า