Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 37 reacties
Bron: Computerworld

Het Internet Software Consortium (ISC) opent een coördinatiecentrum met als doel beter om te kunnen gaan met toekomstige aanvallen op de root-servers van het DNS-systeem. Het crisiscentrum dat 'Operations, Analysis and Research Center' (OARC) gedoopt is, wordt opgericht naar aanleiding van de aanvallen in oktober vorig jaar waarbij zeven van de dertien root-servers onderuit gingen. Het is de bedoeling dat men in het nieuwe centrum nauwkeurig het internetverkeer gaat bestuderen, zodat men tijdig een intensivering door een attack kan onderscheiden van normale pieken in het dataverkeer. Nu de basis gelegd is, zoekt men honderd tot vijfhonderd gekwalificeerde mensen uit de IT-wereld om plaats te nemen in het centrum. Onder andere Cisco Systems heeft zijn medewerking al toegezegd.

Internet Software Consortium ISC (logo)Ram Mohan van Afilias, een andere deelnemer aan het project, liet weten dat het OARC een testlaboratorium zal opzetten waar onderzoekers grote aanvallen op de DNS-servers kunnen simuleren. Op die manier kunnen ze dan zoeken naar oplossingen ervoor. Uiteindelijk hoopt ISC dat OARC een organisatie gaat worden waarin toplevel domein-operators, datacenters, commerciële DNS-aanbieders, onderzoekers en overheidsbeambten samenwerken aan de stabiliteit van internet. Volgens de voorzitter van ISC, Paul Vixie, is het voor het eerst dat er zo grondig gekeken wordt naar de veiligheid van de het DNS-systeem:

Internet algemeenBefore the root server attacks, when all 13 of the Internet's root DNS servers were hit by intruders in a massive distributed denial-of-service attack, there was no group set up to protect the DNS system globally, Vixie said. "It's like having a child and seeing them grow up and suddenly they go to college, then wondering how it happened so fast."
Moderatie-faq Wijzig weergave

Reacties (37)

Dat ze 500 man nodig hebben om te besluiten meer root servers in te zetten... komop zeg. Het complete internetverkeer laten afhangen van 13 servers... een beetje achterhaald niet?

Zet er bijvoorbeeld eens 100 in... dan merkt de wereld het niet eens als er 10 geddossed worden.

Of ga ik nou écht te kort door de bocht?
het hangt ook niet af van die 13 servers. teminste niet direct. ze moeten langere tijd allemaal onderuit liggen will het echt effect hebben.
elke ISP heeft namelijk zijn eigen DNS server staan, alleen als die servers het niet weet gaat hij naar de root server om te vragen waar welke IP bij dat address hoort, en dat komt eigenlijk alleen voor bij nieuwe DNS entrys, of als een entry verlopen is (hoe vaak er ververst word hangt van je ISP af, maar als hij geen andwoord krijgt van de root server kan hij zijn oude info gewoon blijven gebruiken natuurlijk).

dus eigenlijk staan er duizende DNS servers. maar er zijn dus 13 uber servers die het altijd weten.
Idd kort door de bocht.. Die servers kosten een vermogen en het zijn niet de simpelste pc's op aarde.. En daarnaast zijn het alleen maar root DNS servers. Heb jij er iets van gemerkt? Ik niet
Zeven of acht van deze servers vielen uit, wat net voldoende was voor een kleine merkbare vertraging in bepaalde regio's van het internet.
Om er nou meteen 100 te gaan plaatsen is weer overdreven en nogal kostbaar. Ze zijn al nood root servers aan het opzetten. Afrika kreeg zijn eigen root server las ik laatst, dus in ieder geval 1tje erbij :)
Om er nou meteen 100 te gaan plaatsen is weer overdreven en nogal kostbaar.
en 500 IT specialisten aan laten rukken niet dan?

ik ben het met je eens dat 100 servers neer zetten overdreven is, maar de 'oplossing' die ze nu hebben is ook niet goedkoop natuurlijk
Het zijn over het algemeen denk ik mensen uit de bedrijfswereld, en dus verdeeld over een aantal bedrijven die samen dit gaan doen. De totale kosten worden dus verdeeld. Ik denk eigenlijk ook niet dat het fulltime bezigheden zijn. Dat weet ik alleen niet met zekerheid natuurlijk :)
En daarnaast zijn het alleen maar root DNS servers. Heb jij er iets van gemerkt? Ik niet
Op het moment was het zeker wel te merken!..
(Ja ik weet het nog als de avond van gisteren!)

DNS query's namen gewoon een langere tijd in beslag.
Ja, je gaat echt te kort door de bocht ;).

Enig idee hoeveel bandbreedte zo'n centrum heeft? Hoeveel dns aanvragen zullen er zijn per seconde :P
Die servers kosten ook niet niks, he ;)
Wat gaan ze dan precies doen ?

Gaan ze capaciteit van de deelnemers, zoals Cisco, gebruiken op het verlies van de aanval op te vangen?

In dat geval zou er ook een achterdeur voor een specifiekere aanval geboden worden, of zie ik dat verkeerd??
Het is de bedoeling dat men in het nieuwe centrum nauwkeurig het internetverkeer gaat bestuderen, zodat men tijdig een intensivering door een attack kan onderscheiden van normale pieken in het dataverkeer.
Thanx voor je reactie, maar dat bedoelde ik niet.

Ik vroeg me af hoe ze gaan reageren op een toekomstige aanval.
Als ze daar met 500 personen unaniem gaan constateren:
"Euh...tja, er zijn nu 7 van de 13 servers uitgevallen, dus we kunnen (denk ik :?) stellen dat er sprake is van een sterke verhoging van het internet verkeer"

Ik vroeg me af wat de toekomstige oplossing voor het probleem is als er sprake is van een aanval??
De truc is juist om, als een aanval begint, dit snel te waarnemen en zo maatregelen te nemen a la Microsoft met z'n WindowsUpdate.

Soort voorspelling van een aanval dus, om in te grijpen als de aanval net begint en dus nog niet krachtig genoeg is om schade te berokkenen.
De truc is juist om, als een aanval begint, dit snel te waarnemen en zo maatregelen te nemen a la Microsoft met z'n WindowsUpdate.
Wat MS deed met Windows Update kan nou net niet met een DNS server.

MS verplaatste de windowsupdate.com site naar een hoster met een zeer brede internetpijp waardoor er erg veel data ndoig was voordat er sprake zou zijn van een dDOS en ze haalde het record uit de DNS zodat de besmette PC's het doel niet konden vinden.

Laat dat nou net niet kunnen met DNS-rootservers aangezien die altijd via een IP worden aangesproken (een DNS server is er juist voor om bij de URL een IP te vinden). Dan blijft er een mogelijkheid over en dat is zorgen voor een zo breed mogelijke verbinding, hoe breder hoe lastiger dicht te krijgen met een dDOS.
Soort voorspelling van een aanval dus, om in te grijpen als de aanval net begint en dus nog niet krachtig genoeg is om schade te berokkenen.
Wat dan? De DNS-rootserver uitzetten? De range IP adressen die voor het extra verkeer zorgen blocken? Beide zijn niet echt handig, zeker met de tweede dupeer je een hoop mensen die er niets mee te maken hebben.

Tegen een dDOS valt gewoon weinig te doen, behalve een erg brede internetverbinding en het spreiden van risico, in dit geval dus meer rootservers.
De range IP adressen die voor het extra verkeer zorgen blocken?
Dat lijkt mij eigenlijk een prima methode. De ddos zal waarschijnlijk worden uitgevoerd door zombie-computers (die m.b.v. een trojan of virus gehacked zijn) en deze machines mogen dus gerust (tijdelijk) geblocked worden.
Ik bedenk me nu de volgende mogelijke (?!) oplossing:

Als de root-servers alleen geraadpleegd mogen worden door "gecertificeerde" DNS-servers. Dit zullen dan voornamelijk de ISP's zijn (xs4all, cistron, aol etc.). Voor "normale" PC's is er niet echt een reden om zelfstandig root-servers te benaderen.

Er zal dan wel een goede (geautomatiseerde)procedure moeten komen voor het registreren van DNS-servers zodat ook bedrijven en IT-hobbyisten een eigen (Internet-) DNS kunnen blijven draaien. Maar dan is de drempel iig al een stuk hoger voor DOS-attacks.
Ben jij niet toevallig één van die vijfhonderd gekwalificeerde mensen uit de IT-wereld? :z
Oplossing:
Laat de DNS servers van de providers ook met elkaar praten.
Elke major provider van een land weet waar per land een andere DNS server staat. Als een entry niet bekend is, dan vraagt hij het aan een root server. Geen antwoord binnen 3 seconden, dan vraagt hij het aan een buitelandse DNS collega.

Maarre.. what's the fuzz :?
Een trager internet van een paar seconden. Hoe erg is dat nou :? :? :?
Een trager internet van een paar seconden. Hoe erg is dat nou
Het gaat niet om 'het Internet' maar de dns servers die overbelast kunnen worden.
Overbelaste dns root servers = zeer beperkte name resolving (caching is er nog) = belangrijkste functionaliteit weg = Internet zo goed als weg
Nog een probleem is.. dat er geen "standaard" DNS query protocol is waardoor resolving some moeizaam gaat onderling.. Waarschijnelijk komt er niet alleen een oplossing voor die 13 root DNS servers maar ook een standarisatie van de DNS protocol.
Paar seconden trager internet maakt wel degelijk uit. Denk maar aan de time-out tijden van bepaalde requesten.

correct me if I'm wrong. :7
zoekt men honderd tot vijfhonderd
Waarom gaat iedereen nu meteen uit van het maximale, dus 500 personen.
Het kunnen er net zo goed 100 zijn, dus waarom iedereen zegt "en om er meteen 500 man achter te zetten...." vind ik een beetje te voorbarig.
Als ze nu eens elk land ofzo een root server gaven lijk dat het risico dan aardig gepreid wordt.
Her risico is al aardig gespreid door de vele DNS servers die wereldwijd draaien.

Als in het ergste geval alle root DNS'sen door een dDOS niet meer bereikbaar zijn, zijn er altijd nog de DNS servers die wereldwijd bij bijvoorbeeld ISP's draaien. Het wordt pas riskant als de niet bereikbaarheid van de root servers langer als 24 gaat duren aangezien de meeste DNS records met een TTL van 24 uur zijn ingesteld.

Dan kan de DNS server zijn informatie niet updaten en dat kan lastig zijn. De meeste DNS servers zullen gewoon de oude informatie blijven gebruiken, maar fijn is anders.

Overigens heeft Afrika net zijn eerste DNS rootserver gekregen, er wordt dus wel gewerkt aan verdere spreiding.
afrika heeft een backup server gekregen.. althans een miroring.. niet een volwaardige server.
Duurt een ddos gemiddeld niet meer dan 24u dan?
Denk het wel ja.

7 van de 13 servers waren onderuit gegaan.Dat is meer dan de helft.

Zet er 100 neer, en laat ze het een 2e keer lukken, liggen er 60 uit! ;-)
Dus hoe meer je er neerzet, hoe meer ze er onderuit kunnen krijgen lijkt mij.

Mij lijkt het een goed idee, een wat algemenere beveiliging hiervoor.
Dat is natuurlijk onzin.

De root servers zijn toen uit de lucht gehaald door een dos aanval. Om nog meer servers plat te leggen is er wel een hele grote dos aanval nodig dat is niet releel.
En wat andere mensen ook al schreven. Het is een root server deze krijgt alleen een query als jouw ISP dns server het niet weet.
...in a massive distributed denial-of-service attack...
Nu wil ik eigenlijk wel eens weten wat er nou eigelijk gebeurt bij zo'n DDoS aanval. Ik weet wel dat je daarmee een server plat kan leggen ofzo, maar hoe gaat dit in zijn werk?
Er worden zoveel requests naar een server gestuurd dat de server niet meer kan antwoorden.
Vergelijk het maar met 100 mensen die tegelijk iets aan je vragen. Je leeft nog wel maar je kan geen antwoord geven.
Ok, bedankt voor de informatie. (overbodig, offtopic, jaja)
hoe stuurt men dan die requests?
(wil niet als noob overkomen, maar denk dat dit toch al wel het geval is....)
Er zijn 13 root nameservers omdat dit precies in 1 udp pakketje past. Anders hadden er vermoedelijk
wel meer gestaan.
Is die 'nieuwe' dns-root server in Johannesburg dan slechts een verplaatste oude server?
Nee, het is een back-up/mirror zoals in dat nieuwsbericht staat maar wat ik me af vraag is hoe gaan providers daar mee om? Wordt die ook aangesproken als een '14e' root server of is dat nerges gedefinieerd?
zeven van de dertien root-servers onderuit gingen
Ik herinner me gelezen te hebben dat om te kijken of de root-servers 'up' zijn er met simpele pings wordt gewerkt, en dat ze tijdens de attack hadden ingesteld dat ook ICMP packets moesten worden geweerd en dat het zo in eerste instantie leek of ze onderuit waren gegaan. Oftewel volgens mij was er geeneen onderuit gegaan.
Ik dacht dat hiervoor juist het dnssec project voor was opgestart zodat nameserverqueries niet afgevangen konden worden door malafide bronnen.

http://www.dnssec.net/

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True