DNS-schild moet domeinen beschermen tegen DDoS-aanval

DOS-attackHet Amerikaanse bedrijf UltraDNS heeft vandaag een nieuw product geïntroduceerd dat moet helpen in de strijd tegen Distributed Denial of Service (DDoS)-aanvallen. UltraDNS is een bedrijf dat dns-services levert voor onder andere Amazon, Oracle en alle .org- en .uk-domeinen. De nieuwe beveiliging, DNS Shield genaamd, houdt in dat ISP's hun dns-infrastructuur direct verbinding laten leggen met het netwerk van UltraDNS. Hierdoor ontstaat een privé-netwerk tussen de internetproviders en de dns-servers. Alleen informatieaanvragen van computers die bekend zijn in dit privé-netwerk zullen door deze servers beantwoord worden. Het enorme aantal aanvragen dat bij een DDoS-aanval richting een dns-server wordt gedaan, wordt hierdoor voorkomen, aangezien deze aanvragen niet uit het privé-netwerk komen. Volgens de voorzitter van het ICANN kan DNS Shield zeker een nuttige technologie bieden om dns-servers te beschermen.

Door Inge Janse

18-10-2005 • 21:34

14 Linkedin

Bron: Yahoo News

Reacties (14)

14
14
9
5
2
3
Wijzig sortering
Ik neem aan dat deze beveiliging bedoeld is om zogenaamde Reflector Attacks tegen te gaan. Hierbij worden (gespoofde) DNS requests gedaan bij diverse DNS servers. Wanneer de DNS servers op de requests reageren, wordt de gespoofde afzender belaagd met DNS packets en hierdoor onbereikbaar.

Door DNS servers alleen van binnen het netwerk toegankeljik te maken, ga je misbruik van 'hackers' buiten je netwerk tegen.

Als dit bovendien gecombineerd zou worden met een middel tegen IP-spoofing (wat je provider dus kan controleren, hij weet wat er binnen zijn netwerk hoort, qua IP's :)), dan is het een heel aardige stap tegen D(R)DoS attacks.
Als een DDoS-aanval niet gericht wordt op de hostname maar op het ip-adres(sen) van een website dan heb je toch nog steeds hetzelfde resultaat van zo'n attack of zie ik nu iets over het hoofd?
Het gaat erom dat bij een DDOS op de DNS servers op het internet je een groot gedeelte van het internet plat kan gooien. Dat kun je op deze manier voorkomen. DDOS op specifieke websites is een ander probleem
Een bedrijf kan makkelijker wisselen van IP adres, dan van domeinnaam ;)
Anoniem: 41987
18 oktober 2005 23:07
Het enorme aantal aanvragen dat bij een DDoS-aanval richting een website wordt gedaan, wordt hierdoor voorkomen, aangezien deze aanvragen niet uit het privé-netwerk komen.
Hmm daar klopt niet veel van.
Er zal toch een firewall moeten zijn die controleert of pakketjes wel of niet uit het privenetwerk komen.

En als dat niet zo is moet de firewall het pakketje ook weer afwijzen.

De firewall moet dus al het verkeer gaan scheiden en als er maar genoeg pakketjes binnenkomen brand dat ding ook uit of vliegt de CPU naar 100% en is je connectie alsnog down.
maar een deftige firewall kan wel wat meer verkeer verwerken dan een een dns server ;)

Jouw argument gaat trouwens voor elk onderdeel van een netwerk op: elk onderdeel heeft een maximale troughput, daarboven gaan er paketten verloren of valt de verbinding zo goed als stil.
Je kan een firewall uit zulke hardware opbouwen dat die pakketjes op wirespeed kan controleren. Je zal hooguit een kloktik vertraging hebben. Lekker belangrijk op een delay van 20/30 milliseconden. De echte corerouters/switches kunnen al bijzonder veel op wirespeed.
Als ik de bronnen goed begrijp helpt het alleen tegen DDoS aanvallen op de DNS servers zelf. Het voordeel voor websites is minder groot: Het is minder makkelijk ze onbereikbaar te maken door de authorative DNS server te overbelasten.

Voor rechtstreekse aanvallen op een webserver maakt het niets uit, de aanvaller kan altijd een DNS adres resolven. als die dat niet zou kunnen kan een gewone gebruiker het ook niet en is de server ook onbereikbaar.
Als je de servers die onderdeel van het shield zijn weet uit te schakelen, dan heb je nog steeds een probleem. Die servers kunnen dan wel gespecialiseerd zijn in hun taak, maar het lijkt me dat ze nog steeds zelf met grof geweld ge-DDOS'ed moeten kunnen worden?
Software kan zoiets niet voorkomen, door network congestion komen de meeste pakketjes daar niet eens aan bij een ddos aanval. Komt er meer in dan er verwerkt kan worden, dan ben je de lul. Enige wat je kan doen is een gigantisch dikke pijp leggen naar de server(s) en hopen dat de attacker dit niet kan overtreffen.
Niet omhet en of ander.
Maar een DNS server die alleen van uit het prive netwerk te benaderen is?
Dit heeft toch eem tweaker al in huis?
Anoniem: 127134
@wica19 oktober 2005 10:49
en wat heeft dat voor relevantie ?
Dus iedere ISP moet hier aan meewerken? Okee... dat schiet op :)

Maar iedereen die een eigen DNS server heeft die via de root servers gaat lopen opvragen kan dat dus straks vergeten? Lekker dan....

Straks komt er een anti spam regel oid waardoor alle email via een centraal punt moet lopen, kan je je eigen email server ook vergeten.
Anoniem: 30168
23 oktober 2005 17:00
het probleem bij de wortels aanpakken heeft geen zin.
want dat zijn altijd kleine jongens ,ook al is die groepering behoorlijk groot.

alleen monitoren zal een klein beetje helpen, maar of dat genoeg is ,is te betwijfelen.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee