Problema de DNS vinculado a ataques DDoS fica pior

Para o conjunto de pesquisas a ser lançado nos próximos dias, parte do problema é atribuída ao crescente número de dispositivos de consumo na Internet que estão configurados para aceitar consultas DNS de qualquer lugar, o que especialistas em redes chamam de "open recursive" ou "open". resolver "sistema. À medida que mais consumidores demandam Internet de banda larga, os provedores de serviços estão lançando modems configurados dessa maneira para seus clientes, disse Cricket Liu, vice-presidente de arquitetura da Infoblox, a empresa de appliances de DNS que patrocinou a pesquisa. "Os dois principais culpados que encontramos foram a Telefonica e a France Telecom", disse ele.

Na verdade, a porcentagem de sistemas DNS na Internet configurados dessa maneira saltou de cerca de 50% em 2007 para quase 80%. ano, de acordo com Liu

[Outras leituras: As melhores caixas NAS para streaming de mídia e backup]

Embora ele não tenha visto os dados da Infoblox, o pesquisador da Georgia Tech David Dagon concordou que sistemas recursivos abertos estão em ascensão, em parte por causa do "aumento de aparelhos de rede doméstica que permitem múltiplos computadores na Internet".

"Quase todos os ISPs distribuem um dispositivo DSL / cabo residencial", disse ele em entrevista por e-mail. "Muitos dos dispositivos possuem servidores DNS integrados. Às vezes, eles podem ser enviados para estados 'abertos por padrão'".

Como os modems configurados como servidores recursivos abertos respondem às consultas DNS de qualquer pessoa na Internet, eles podem ser usados ​​em o que é conhecido como um ataque de amplificação de DNS.

Neste ataque, os hackers enviam mensagens de consulta DNS falsificadas para o servidor recursivo, enganando-o para responder ao computador da vítima. Se os bandidos sabem o que estão fazendo, eles podem enviar uma pequena mensagem de 50 bytes para um sistema que responderá enviando à vítima até 4 kilobytes de dados. Ao bombardear vários servidores DNS com essas consultas falsas, os invasores podem sobrecarregar suas vítimas e bloqueá-las efetivamente.

Os especialistas em DNS sabem há anos sobre o problema de configuração recursiva aberta, portanto é surpreendente que os números estejam pulando.

No entanto, de acordo com Dagon, uma questão mais importante é o fato de que muitos desses dispositivos não incluem patches para uma falha de DNS amplamente divulgada descoberta pelo pesquisador Dan Kaminsky no ano passado. Essa falha pode ser usada para induzir os donos desses dispositivos a usar servidores da Internet controlados por hackers sem nunca perceber que foram enganados. A Infoblox estima que 10% dos servidores recursivos abertos na Internet não foram corrigidos.

A pesquisa da Infoblox foi conduzida pela The Measurement Factory, que obtém seus dados, digitalizando cerca de 5% dos endereços IP na Internet. Os dados serão publicados aqui nos próximos dias.

De acordo com o presidente da Measurement Factory, Duane Wessels, os ataques de amplificação de DNS ocorrem, mas eles não são a forma mais comum de ataque de DDoS. "Aqueles de nós que rastreiam isso e estão cientes disso tendem a ficar um pouco surpresos por não vermos mais ataques que usam resolvedores abertos", disse ele. "É meio que um quebra-cabeça."

Wessels acredita que o movimento em direção ao padrão IPv6 da próxima geração pode estar contribuindo inadvertidamente para o problema. Alguns dos modems são configurados para usar o software de servidor DNS chamado Trick ou Tread Daemon (TOTd) - que converte endereços entre os formatos IPv4 e IPv6. Muitas vezes este software é configurado como um resolvedor aberto, disse Wessels.