Site Porn Feud Spawns Novo ataque de DNS

O ataque é conhecido como amplificação de DNS. Ele tem sido usado esporadicamente desde dezembro, mas começou a ser falado no mês passado quando o ISPrime, um pequeno provedor de serviços de Internet de Nova York, começou a ser atingido com o que é conhecido como ataque distribuído de negação de serviço (DDOS). O ataque foi lançado pelo operador de um site pornográfico que estava tentando fechar um concorrente, hospedado na rede da ISPrime, de acordo com Phil Rosenthal, diretor de tecnologia da empresa.

O ataque ao ISPrime começou na manhã de domingo., 18 de janeiro. Ele durou cerca de um dia, mas o que foi notável foi que um número relativamente pequeno de PCs conseguiu gerar uma quantidade muito grande de tráfego na rede.

[Outras leituras: as melhores caixas NAS para streaming de mídia e backup]

Um dia depois, um ataque similar se seguiu, com duração de três dias. Antes que o ISPrime pudesse filtrar o tráfego indesejado, os invasores conseguiram usar cerca de 5 GB / segundo da largura de banda da empresa,

Com um pouco de trabalho, a equipe de Rosenthal conseguiu filtrar o tráfego hostil, mas em um e-mail Ele disse que o ataque "representa uma tendência perturbadora na sofisticação dos ataques de negação de serviço."

De acordo com Don Jackson, diretor de inteligência de ameaças do fornecedor de segurança SecureWorks, em breve veremos muito mais desses amplificadores de DNS ataques. No final da semana passada, os operadores de redes de bots, que alugaram suas redes de computadores hackeados para o maior lance, começaram a adicionar ferramentas personalizadas de Amplificação de DNS a suas redes.

"Todo mundo já pegou isso", disse ele. "O próximo grande DDOS em alguma antiga república soviética, você verá isso mencionado, tenho certeza."

Uma das coisas que faz um ataque de amplificação de DNS particularmente desagradável é o fato de que enviando um pacote muito pequeno para um servidor DNS legítimo, digamos 17 bytes, o atacante pode enganar o servidor para enviar um pacote muito maior - cerca de 500 bytes - para a vítima do ataque. Ao falsificar a origem do pacote, o invasor pode direcioná-lo a partes específicas da rede de sua vítima.

Jackson estima que o ataque de 5 GB / segundo contra o ISPrime foi alcançado com apenas 2.000 computadores, que enviaram pacotes falsificados para milhares de servidores de nomes, todos os quais começaram a inundar a rede ISPrime. Rosenthal, da ISPrime, diz que cerca de 750.000 servidores DNS legítimos foram usados ​​no ataque à sua rede.

No início desta semana, o SecureWorks produziu uma análise técnica do ataque de Amplificação do DNS.

O ataque está gerando muita discussão entre os especialistas do DNS Segundo Duane Wessels, gerente de programas do DNS-OARC (Centro de Análise e Pesquisa de Operações), baseado em Redwood City, Califórnia, "A preocupação é que esse tipo de ataque possa ser usado em alvos mais importantes". ele disse.

Uma das coisas que torna o ataque particularmente desagradável é que é muito difícil protegê-lo.

"Até onde eu sei, a única defesa real que você tem é pedir ao seu provedor para filtrar [o tráfego malicioso] ", disse ele. "Não é algo que a vítima possa fazer sozinha. Eles precisam da cooperação do provedor".

O sistema DNS, uma espécie de serviço de ajuda à Internet, está sob maior escrutínio no ano passado, quando o hacker Dan Kaminsky. descobriu uma falha grave no sistema. Essa falha, agora corrigida por fabricantes de software DNS, poderia ser explorada para silenciosamente redirecionar o tráfego da Internet para computadores mal-intencionados sem o conhecimento da vítima.

O DNS-OARC publicou algumas informações sobre como evitar que servidores DNS BIND sejam usados em um desses ataques. A Microsoft não pôde fornecer imediatamente informações sobre como atenuar esse ataque específico em seus próprios produtos, mas sua orientação sobre a implantação de servidores DNS seguros pode ser encontrada aqui.