Het Amerikaanse bedrijf UltraDNS heeft vandaag een nieuw product geïntroduceerd dat moet helpen in de strijd tegen Distributed Denial of Service (DDoS)-aanvallen. UltraDNS is een bedrijf dat dns-services levert voor onder andere Amazon, Oracle en alle .org- en .uk-domeinen. De nieuwe beveiliging, DNS Shield genaamd, houdt in dat ISP's hun dns-infrastructuur direct verbinding laten leggen met het netwerk van UltraDNS. Hierdoor ontstaat een privé-netwerk tussen de internetproviders en de dns-servers. Alleen informatieaanvragen van computers die bekend zijn in dit privé-netwerk zullen door deze servers beantwoord worden. Het enorme aantal aanvragen dat bij een DDoS-aanval richting een dns-server wordt gedaan, wordt hierdoor voorkomen, aangezien deze aanvragen niet uit het privé-netwerk komen. Volgens de voorzitter van het ICANN kan DNS Shield zeker een nuttige technologie bieden om dns-servers te beschermen.
DNS-schild moet domeinen beschermen tegen DDoS-aanval
Lees meer
:strip_exif()/i/1239263994.jpeg?f=fpa)
Amazon UK gaat gratis verzenden naar Nederland en België
Nieuws van 12 oktober 2010
Cisco: omvangrijk tcp-lek bouwt voort op bekende kwetsbaarheden
Nieuws van 20 oktober 2008
Zweden maakt dos-aanval strafbaar
Nieuws van 22 februari 2007
DNS-variant ddos-aanvallen lastig te bestrijden
Nieuws van 17 maart 2006
MyDoom.F houdt RIAA-site offline
Nieuws van 23 maart 2004
Stichting Brein overspoeld met protestfaxen
Nieuws van 24 februari 2004
IP-adressen aan spammers verkocht door virusmakers
Nieuws van 22 februari 2004
Sites Brein down na DDoS-aanval
Nieuws van 13 februari 2004
Weinig problemen in Nederland door gevreesde MyDoom
Nieuws van 8 februari 2004
Microsoft doorstaat MyDoom tot nu toe goed
Nieuws van 3 februari 2004
SCO gebruikt nieuwe url als antwoord op MyDoom
Nieuws van 2 februari 2004
MyDoom heeft DDoS-aanval op sco.com ingezet
Nieuws van 1 februari 2004
Gemuteerde MyDoom richt zich op Microsoft en AV-sites
Nieuws van 30 januari 2004
MyDoom-virus snelst verspreidende e-mailplaag tot nu toe
Nieuws van 28 januari 2004
Reacties (14)
Ik neem aan dat deze beveiliging bedoeld is om zogenaamde Reflector Attacks tegen te gaan. Hierbij worden (gespoofde) DNS requests gedaan bij diverse DNS servers. Wanneer de DNS servers op de requests reageren, wordt de gespoofde afzender belaagd met DNS packets en hierdoor onbereikbaar.
Door DNS servers alleen van binnen het netwerk toegankeljik te maken, ga je misbruik van 'hackers' buiten je netwerk tegen.
Als dit bovendien gecombineerd zou worden met een middel tegen IP-spoofing (wat je provider dus kan controleren, hij weet wat er binnen zijn netwerk hoort, qua IP's
), dan is het een heel aardige stap tegen D(R)DoS attacks.
Door DNS servers alleen van binnen het netwerk toegankeljik te maken, ga je misbruik van 'hackers' buiten je netwerk tegen.
Als dit bovendien gecombineerd zou worden met een middel tegen IP-spoofing (wat je provider dus kan controleren, hij weet wat er binnen zijn netwerk hoort, qua IP's
), dan is het een heel aardige stap tegen D(R)DoS attacks.
:strip_exif()/u/83801/debian_eye.gif?f=community){kind=small}
Als een DDoS-aanval niet gericht wordt op de hostname maar op het ip-adres(sen) van een website dan heb je toch nog steeds hetzelfde resultaat van zo'n attack of zie ik nu iets over het hoofd?
/u/21071/avatar%252060x60.png?f=community){kind=avatar}
Het gaat erom dat bij een DDOS op de DNS servers op het internet je een groot gedeelte van het internet plat kan gooien. Dat kun je op deze manier voorkomen. DDOS op specifieke websites is een ander probleem
Een bedrijf kan makkelijker wisselen van IP adres, dan van domeinnaam 
Hmm daar klopt niet veel van.Het enorme aantal aanvragen dat bij een DDoS-aanval richting een website wordt gedaan, wordt hierdoor voorkomen, aangezien deze aanvragen niet uit het privé-netwerk komen.
Er zal toch een firewall moeten zijn die controleert of pakketjes wel of niet uit het privenetwerk komen.
En als dat niet zo is moet de firewall het pakketje ook weer afwijzen.
De firewall moet dus al het verkeer gaan scheiden en als er maar genoeg pakketjes binnenkomen brand dat ding ook uit of vliegt de CPU naar 100% en is je connectie alsnog down.
maar een deftige firewall kan wel wat meer verkeer verwerken dan een een dns server
Jouw argument gaat trouwens voor elk onderdeel van een netwerk op: elk onderdeel heeft een maximale troughput, daarboven gaan er paketten verloren of valt de verbinding zo goed als stil.
Jouw argument gaat trouwens voor elk onderdeel van een netwerk op: elk onderdeel heeft een maximale troughput, daarboven gaan er paketten verloren of valt de verbinding zo goed als stil.
/u/13471/karnemelk.png?f=community){kind=small}
Je kan een firewall uit zulke hardware opbouwen dat die pakketjes op wirespeed kan controleren. Je zal hooguit een kloktik vertraging hebben. Lekker belangrijk op een delay van 20/30 milliseconden. De echte corerouters/switches kunnen al bijzonder veel op wirespeed.
Als ik de bronnen goed begrijp helpt het alleen tegen DDoS aanvallen op de DNS servers zelf. Het voordeel voor websites is minder groot: Het is minder makkelijk ze onbereikbaar te maken door de authorative DNS server te overbelasten.
Voor rechtstreekse aanvallen op een webserver maakt het niets uit, de aanvaller kan altijd een DNS adres resolven. als die dat niet zou kunnen kan een gewone gebruiker het ook niet en is de server ook onbereikbaar.
Voor rechtstreekse aanvallen op een webserver maakt het niets uit, de aanvaller kan altijd een DNS adres resolven. als die dat niet zou kunnen kan een gewone gebruiker het ook niet en is de server ook onbereikbaar.
:strip_icc():strip_exif()/u/25814/camus_small.jpg?f=community){kind=small}
Als je de servers die onderdeel van het shield zijn weet uit te schakelen, dan heb je nog steeds een probleem. Die servers kunnen dan wel gespecialiseerd zijn in hun taak, maar het lijkt me dat ze nog steeds zelf met grof geweld ge-DDOS'ed moeten kunnen worden?
/u/32287/crop5704f5348305b.png?f=community){kind=small}
Software kan zoiets niet voorkomen, door network congestion komen de meeste pakketjes daar niet eens aan bij een ddos aanval. Komt er meer in dan er verwerkt kan worden, dan ben je de lul. Enige wat je kan doen is een gigantisch dikke pijp leggen naar de server(s) en hopen dat de attacker dit niet kan overtreffen.
:strip_exif()/u/47900/baph.gif?f=community){kind=small}
Niet omhet en of ander.
Maar een DNS server die alleen van uit het prive netwerk te benaderen is?
Dit heeft toch eem tweaker al in huis?
Maar een DNS server die alleen van uit het prive netwerk te benaderen is?
Dit heeft toch eem tweaker al in huis?
en wat heeft dat voor relevantie ?
:strip_icc():strip_exif()/u/5677/crop60a67856c31dd_cropped.jpg?f=community){kind=small}
Dus iedere ISP moet hier aan meewerken? Okee... dat schiet op
Maar iedereen die een eigen DNS server heeft die via de root servers gaat lopen opvragen kan dat dus straks vergeten? Lekker dan....
Straks komt er een anti spam regel oid waardoor alle email via een centraal punt moet lopen, kan je je eigen email server ook vergeten.
Maar iedereen die een eigen DNS server heeft die via de root servers gaat lopen opvragen kan dat dus straks vergeten? Lekker dan....
Straks komt er een anti spam regel oid waardoor alle email via een centraal punt moet lopen, kan je je eigen email server ook vergeten.
het probleem bij de wortels aanpakken heeft geen zin.
want dat zijn altijd kleine jongens ,ook al is die groepering behoorlijk groot.
alleen monitoren zal een klein beetje helpen, maar of dat genoeg is ,is te betwijfelen.
want dat zijn altijd kleine jongens ,ook al is die groepering behoorlijk groot.
alleen monitoren zal een klein beetje helpen, maar of dat genoeg is ,is te betwijfelen.
Op dit item kan niet meer gereageerd worden.