Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

DNS-schild moet domeinen beschermen tegen DDoS-aanval

DOS-attackHet Amerikaanse bedrijf UltraDNS heeft vandaag een nieuw product geďntroduceerd dat moet helpen in de strijd tegen Distributed Denial of Service (DDoS)-aanvallen. UltraDNS is een bedrijf dat dns-services levert voor onder andere Amazon, Oracle en alle .org- en .uk-domeinen. De nieuwe beveiliging, DNS Shield genaamd, houdt in dat ISP's hun dns-infrastructuur direct verbinding laten leggen met het netwerk van UltraDNS. Hierdoor ontstaat een privé-netwerk tussen de internetproviders en de dns-servers. Alleen informatieaanvragen van computers die bekend zijn in dit privé-netwerk zullen door deze servers beantwoord worden. Het enorme aantal aanvragen dat bij een DDoS-aanval richting een dns-server wordt gedaan, wordt hierdoor voorkomen, aangezien deze aanvragen niet uit het privé-netwerk komen. Volgens de voorzitter van het ICANN kan DNS Shield zeker een nuttige technologie bieden om dns-servers te beschermen.

Door

14 Linkedin Google+

Bron: Yahoo News

Reacties (14)

Wijzig sortering
Ik neem aan dat deze beveiliging bedoeld is om zogenaamde Reflector Attacks tegen te gaan. Hierbij worden (gespoofde) DNS requests gedaan bij diverse DNS servers. Wanneer de DNS servers op de requests reageren, wordt de gespoofde afzender belaagd met DNS packets en hierdoor onbereikbaar.

Door DNS servers alleen van binnen het netwerk toegankeljik te maken, ga je misbruik van 'hackers' buiten je netwerk tegen.

Als dit bovendien gecombineerd zou worden met een middel tegen IP-spoofing (wat je provider dus kan controleren, hij weet wat er binnen zijn netwerk hoort, qua IP's :)), dan is het een heel aardige stap tegen D(R)DoS attacks.
Als een DDoS-aanval niet gericht wordt op de hostname maar op het ip-adres(sen) van een website dan heb je toch nog steeds hetzelfde resultaat van zo'n attack of zie ik nu iets over het hoofd?
Het gaat erom dat bij een DDOS op de DNS servers op het internet je een groot gedeelte van het internet plat kan gooien. Dat kun je op deze manier voorkomen. DDOS op specifieke websites is een ander probleem
Een bedrijf kan makkelijker wisselen van IP adres, dan van domeinnaam ;)
Het enorme aantal aanvragen dat bij een DDoS-aanval richting een website wordt gedaan, wordt hierdoor voorkomen, aangezien deze aanvragen niet uit het privé-netwerk komen.
Hmm daar klopt niet veel van.
Er zal toch een firewall moeten zijn die controleert of pakketjes wel of niet uit het privenetwerk komen.

En als dat niet zo is moet de firewall het pakketje ook weer afwijzen.

De firewall moet dus al het verkeer gaan scheiden en als er maar genoeg pakketjes binnenkomen brand dat ding ook uit of vliegt de CPU naar 100% en is je connectie alsnog down.
maar een deftige firewall kan wel wat meer verkeer verwerken dan een een dns server ;)

Jouw argument gaat trouwens voor elk onderdeel van een netwerk op: elk onderdeel heeft een maximale troughput, daarboven gaan er paketten verloren of valt de verbinding zo goed als stil.
Je kan een firewall uit zulke hardware opbouwen dat die pakketjes op wirespeed kan controleren. Je zal hooguit een kloktik vertraging hebben. Lekker belangrijk op een delay van 20/30 milliseconden. De echte corerouters/switches kunnen al bijzonder veel op wirespeed.
Als ik de bronnen goed begrijp helpt het alleen tegen DDoS aanvallen op de DNS servers zelf. Het voordeel voor websites is minder groot: Het is minder makkelijk ze onbereikbaar te maken door de authorative DNS server te overbelasten.

Voor rechtstreekse aanvallen op een webserver maakt het niets uit, de aanvaller kan altijd een DNS adres resolven. als die dat niet zou kunnen kan een gewone gebruiker het ook niet en is de server ook onbereikbaar.
Als je de servers die onderdeel van het shield zijn weet uit te schakelen, dan heb je nog steeds een probleem. Die servers kunnen dan wel gespecialiseerd zijn in hun taak, maar het lijkt me dat ze nog steeds zelf met grof geweld ge-DDOS'ed moeten kunnen worden?
Dus iedere ISP moet hier aan meewerken? Okee... dat schiet op :)

Maar iedereen die een eigen DNS server heeft die via de root servers gaat lopen opvragen kan dat dus straks vergeten? Lekker dan....

Straks komt er een anti spam regel oid waardoor alle email via een centraal punt moet lopen, kan je je eigen email server ook vergeten.
Software kan zoiets niet voorkomen, door network congestion komen de meeste pakketjes daar niet eens aan bij een ddos aanval. Komt er meer in dan er verwerkt kan worden, dan ben je de lul. Enige wat je kan doen is een gigantisch dikke pijp leggen naar de server(s) en hopen dat de attacker dit niet kan overtreffen.
Niet omhet en of ander.
Maar een DNS server die alleen van uit het prive netwerk te benaderen is?
Dit heeft toch eem tweaker al in huis?
en wat heeft dat voor relevantie ?
het probleem bij de wortels aanpakken heeft geen zin.
want dat zijn altijd kleine jongens ,ook al is die groepering behoorlijk groot.

alleen monitoren zal een klein beetje helpen, maar of dat genoeg is ,is te betwijfelen.

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S9 Google Pixel 2 Far Cry 5 Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*