Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 42 reacties
Bron: News.com

Al sinds december blijkt een variant van de distributed denial of service- of ddos-aanval die van DNS-servers gebruik maakt, aan populariteit te winnen. Normaliter wordt voor een ddos-aanval een netwerk van machines gebruikt, die samen een stortvloed van data naar een doelwit sturen. Bij de nieuwe variant versturen de computers van zo'n botnet een stroom informatieverzoeken naar DNS-servers, waarbij het verzendadres is vervangen door het IP-adres van het slachtoffer. Die krijgt vervolgens uiteraard alle reacties van de DNS-machines voor zijn kiezen, wat praktisch hetzelfde effect heeft als een reguliere ddos.

DNS-wegwijzer Het probleem met de DNS-ddos is dat de conventionele wijze van verdedigen niet werkt. Omdat niet alleen het slachtoffer last heeft van de buitennissige hoeveelheid verkeer waarmee een ddos-aanval gepaard gaat, blokkeren providers het botnetverkeer vaak al aan de poort, maar het op dezelfde manier blokkeren van DNS-servers betekent dat vele domeinnamen voor grote groepen mensen onvindbaar worden. De nieuwe ddos-variant is volgens Verisign tussen december en februari tegen ruim vijftienhonderd IP-adressen ingezet.

Hoewel het gebruik van de DNS-ddos momenteel op een laag pitje staat, lijkt het een kwestie van tijd voordat de aanvalstechniek opnieuw wordt ingezet. DNS-beheerders kunnen wel maatregelen nemen: de techniek zou bemoeilijkt worden door het afschieten van de zogeheten 'Recursive Name Service'-functionaliteit. Die methode is voor domeinnaamhouders wel bruikbaar, maar niet voor bijvoorbeeld ISP's; de recursietechniek zorgt er namelijk voor dat een server die een domein niet kent, andere servers kan raadplegen. Het is de tweede maal in relatief korte tijd dat het domeinenprotocol kwetsbaar blijkt: vorig jaar bleek dat nogal wat DNS-servers niet beveiligd waren tegen vervalste informatie van malafide bronnen, het voor phishers interessante pharming.

Lees meer over

Moderatie-faq Wijzig weergave

Reacties (42)

typefoutje: reakties = reacties :)
Hoewel het gebruik van de DNS-ddos momenteel op een laag pitje staat, lijkt het een kwestie van tijd voordat de aanvalstechniek opnieuw wordt ingezet.
Nu het overal op de grotere sites zoals Tweakers.net staat en news.com zal dat denk ik niet lang meer duren...
ja.. is een beetje het stoeptegel-van-viaduct verhaal. hoe meer media aandacht, hoe meer 'onnadenkende' jongeren het doen.
Ja en nee. Ik durf te wedden dat veel mensen toch niet weten hoe ze dat moeten doen. 'Aanvragen' doen bij DNS servers is nog niet zo moeilijk maar het vervangen van het IP is toch een stuk moeilijker, en voor veel mensen is het zelfs moeilijk om uberhaubt achter het IP te komen, hoewel dat voor mensen die DDOS aanvallen willen doen waarschijnlijk niet het geval is.
Toch zijn de daders van DDOS aanvallen toch nog niet supermoeilijk terug te vinden... Er staat vaak zat nieuws op Tweakers dat er weer iemand getraced is.
Dus iemand kan wel een botnet opzetten, maar is niet instaat zijn ip te achterhalen of een vals pakketje te genereren?? |:(
Het lijkt heel aannemelijk dat veel botnet eigenaren de nieuwe techniek zeer snel zullen beheersen.

Het zou beste wel eens kunnen zijn dat binnenkort een grote site voor een behoorlijke tijd offline gehaald word.
Ik reageerde op deze post:

ja.. is een beetje het stoeptegel-van-viaduct verhaal. hoe meer media aandacht, hoe meer 'onnadenkende' jongeren het doen.

En daarmee bedoel ik dus dat echt niet iedereen het kan doen, een baksteen/stoeptegel van een viaduct gooien kan iedere idioot.
Het zou beste wel eens kunnen zijn dat binnenkort een grote site voor een behoorlijke tijd offline gehaald word.
Is Gibson Research Centre groot genoeg? Die is al op 11 januari 2002 op deze manier off-line gehaald.
Misschien zou het juist goed zijn als zo'n aanval op een groot bedrijf als Google, Microsoft of Yahoo zou worden gedaan. Je hebt dan wel meer kans dat deze bedrijven dan druk uitoefenen op o.a. de isp's om er iets aan te doen.
Toch zijn de daders van DDOS aanvallen toch nog niet supermoeilijk terug te vinden... Er staat vaak zat nieuws op Tweakers dat er weer iemand getraced is.
Topje, ijsberg, enzovoort.
Zo zullen er ook veel meer fraudeurs aangehouden worden als in het nieuws komt, maar reken er maar op dat er veel meer daders rondlopen dan bekend is...
Haha :9 Pak dan IMDB, Google, Wikipedia, E-bay ofzo :Y)

(Ik breng toch geen mensen op ideeën?)

Zul je zien dat Tweakers zelf platgegooid wordt :/
Volgens mij is het allemaal niet zo lastig hoor...
Je maakt in Bind 9 een aantal views aan, voorbeeld:

view "internal" {
match-clients { localhost; 10.20.30.0/24; };
recursion yes;
...je localhost, root.hint enz...
};

view "external" {
match-clients { any; };
recursion no;
allow-transfer { 10.20.30.0/24; };
...je te hosten domeinen...
};

De truc is dan recursion en het scheiden van je IP reeksen in intern en extern.
Precies.

Mijn machine is ook een keer aangevallen door zoiets, daar was Surfnet niet zo blij mee dus ik werd er meteen afgemikt.
Beetje beter configgen en dan is het geen probleem.

Maar hoe zit dat met rootservers? Ik neem aan dat die ook het doel van zo'n aanval kunnen zijn?
Ik snap dat het niet echt mogelijk is om DNS-verkeer te laten blokkeren, maar kan de ISP niet een check doen op de 'afzender' van die pakketjes? Die moet namelijk in een bepaalde IP-range liggen lijkt me.
maar kan de ISP niet een check doen op de 'afzender' van die pakketjes?
ISPs zijn niet de enigen die DNS servers runnen.
ISPs zijn niet de enigen die DNS servers runnen.
Volledig correct, maar ze hebben wat mij betreft in ieder geval wel een morele verplichting om pakketjes met een onjuiste afzender niet het eigen netwerk te laten verlaten. Dan is het probleem gauw genoeg verholpen.
Ow kom op ik wil echt wel traceroute of ping gebruiken hoor. Dan weet je teminste dat je verbinding heb.

Als ze nou een standaart instellen (zoals je op een firewall kan) iets van 100 echo's geven en na de 100e een drop en na 30 min weer vrijgeven? Zoiets kan toch makkelijk standaard worden? :z

Het is inderdaad wel lastig om daar eeen database mee bij te houden. Iedereen kan wel 'ddossen' en dan word je checklist wel erg lang.... :Y) en dus vertragingen.

Zou mooi zijn. Mensen kunnen pingen enzo. En een ddos kan worden bestreden.
Hoe wou jij zoiets controleren op 100mbit/1Gbit+ lijnen?
Die pakketjes moeten ook gelezen worden om bijvoorbeeld te bepalen of ze naar poort 25 gaan. Lijkt me dus niet onmogelijk? :)
Professionele routers / switches kunnen dit goed aan. De ISP's hebben echt wel apparatuur voor dit soort doelen. :)
Port 25 is SMTP.
Port 53 is de DNS :)
Maar de klanten van een ISP, die besmet zijn met een bot, doen vaak wel die DNS-requests bij of via hun ISP, toch?
maar kan de ISP niet een check doen op de 'afzender' van die pakketjes? Die moet namelijk in een bepaalde IP-range liggen lijkt me.
Bij DDoS hoeft het niet persé in een bepaalde IP-range te liggen toch..?
Het idee achter deze vorm van DDoS is hetvolgende. Je neemt PC 212.238.xxx.xxx en laat die een opzetten met een DNS server. Maar ipv dat je als afzender IP 212.238.xxx.xxx opgeeft geeft je bijv het IP op van tweakers. De DNS server zal dan de verbinding willen accepteren en stuurt een bevestiging naar het IP van tweakers. Omdat de tweakers machine van niks weet zal deze de bevestiging blokkeren. De DNS server probeerd echter in totaal een keer of 4 keer om een verbinding op te zetten. 1 valse verbindings aanvraag resulteerd dus in 4 valse returns richting het slachtoffer. Dus met 100mbit kun je 400Mbit aan bandbreedte vol krijgen. Hoewel er in dit geval vaker sprake is van een maximum in het aantal connecties die een server in een seconde kan verwerken.

Het door een ISP filteren van uitgaande pakketjes die niet in hun IP-range liggen zou dit gewoon tegenhouden.
Volgens mij gaan deze DNS Lookups gewoon via UDP. Dus weet de DNS server niet of het pakketje wel of niet aankomt.
Dus: Een lookup zal dus 1 reply opleveren ongeacht of deze wel of niet gedropped wordt.

bron
Nee, maar de klanten van een ISP (die mogelijk participeren aan zo'n aanval, al dan niet onbewust) vaak wel.
Het probleem van zo'n "oplossing" is dat het alleen werkt indien alle ISP's ter wereld mee doen. Praktisch niet te realiseren dus.
Maar de botnets bestaan voornamelijk uit computers van min of meer onschuldige mensen die geinfecteerd zijn geraakt via IE, email, of weet ik wat. Die zitten waarschijnlijk bij "aardige" ISPs, en als er een aantal daarvan die filtering zouden toepassen, zou het toch al veel helpen. Het maakt echt wel uit of 50 of 100 duizend bots actief zijn.
Een paar jaar geleden (6 of zo) kwam ik er achter dat ik door een verkeerde configuratie, packets van mijn pc aan het versturen was met een verkeerde source ip-address. Toen ik mijn isp (cistron) vroeg waarom die packets niet tegengehouden werden door hen, melden ze me dat dit voor te veel cpu belasting op hun routers zou zorgen. Ik weet niet of dit argument tegenwoordig nog steeds geldig is, maar ik gok van wel.

Ik vind dat eigelijk dat elke isp dit zou moeten doen. Dit zou een hoop elende tegenhouden. Het is ook in het eigenbelang van isp's (minder traffic)
UTSL:
Bij de nieuwe variant versturen de computers van zo'n botnet een stroom informatieverzoeken naar DNS-servers, waarbij het verzendadres is vervangen door het IP-adres van het slachtoffer.
Ze hebben het verzendadres dus al gefaket in het pakketje zelf.
klopt, als elke ISP op de wereld een egress-filter zou hebben (alleen uitgaand verkeer accepteren van ip-adressen die bij het netwerk van de ISP hoort) , zou IP Spoofing moeilijker gemaakt worden. Je kan dan nog wel spoofen, maar alleen te kiezen uit ip-blokken van een specifieke ISP.
hebben ze geen anti-hammering ofzo?
hebben ze geen anti-hammering ofzo?
Gebaseerd op wat?
Op van die hippe broeken met het kruis tussen je knieeen. :+

(you can touch this!)
Gebaseerd op IP van requests.
Opzich klinkt dat logische.. maar zitten jammerlijk genoeg wel meer haken en ogen aan. Moet je namelijk spontaan dns servers met extra databases gaan vullen en extra reken werk, daar gaat je cpu-time en disk space :'(
Ook krijg je dan nog wel per dns server een aantal reply's voor je kiezen, dus met een grote lijst aan dns servers nogsteeds een grote hoeveelheid data.

Mij lijkt een feature die controleert of het verzend adres wel echt het verzend adres is beter. Alleen kan dat niet met het standaard IP protocol |:( *correct me if i'm wrong thou*
Twee dingen die ik niet snap: firewalls kunnen controleren op 'gespoofte" afzender ip's, werkt dat hier niet?
En je kan je dns server inrichten om niet zo maar alles te antwoorden. Bv hier op werk, de dns servers antwoorden alles voro lokale machines (en forwarden naar andere dns servers als ze zelf het antwoord niet weten), en voor machines van buiten antwoorden ze alleen queries over machines in het eigen netwerk. Dus een query die van bv een planet.nl ip lijkt te komen over bv tweakers.net, die wordt al netjes geweigerd omdat die niet op die server thuishoort. Dat maakt zo'n server al een stuk minder bruikbaar voor zo'n aanval, lijkt me. of mis ik hier iets?
Je mist inderdaad wat. De weigering is ook een bericht en dat gaat naar de (gespoofde) afzender.

Het wordt al wat anders als het verzoek gewoon gedumpt wordt, maar dat gebeurt niet zo gauw.
gelukkig zal hier niet zo snel een script voor windows uit voort komen omdat iemand die dit gemaakt heeft zei dat je het alleen op linux kan gebruiken omdat windows iets niet toestaat wat nodig is voor dit soort programma's

en volgens mij het deze soort drdos (Distributed Reflection Denial of Service)
Het gaat om raw sockets.
Valt ook wel te doen onder windows dacht ik...
Dit is een veel lucratievere vorm van DDOS en is denk ik ook veel doeltreffender, ik denk dat er veel minder systeembeheerders gebruik maken van RNS. Dit ten voordele van de 'phishers' en andere kwaadwillenden...
Vergeet niet dat je deze requests dus ook kunt sturen naar DNS servers binnen de IP range van degene die je aanvalt.

Vaak is het zo dat een ISP helemaal geen ISP is maar gewoon een reseller van een andere ISP. Op die manier is de range die een DNS server bedient (als het een private DNS is, dus enkel voor hun eigen range, iets wat tegenwoordig ongeveer 50% is) dus erg groot en zitten er vaak een hoop DNS servers binnen dezelfde range.

Je kunt dan gewoon naar al die DNS servers requests sturen (en natuurlijk naar alle non-private DNS servers) en er is niemand die er iets aan kan doen...
de recursietechniek zorgt er namelijk voor dat een server die een domein niet kent, andere servers kan raadplegen...


dat is tog 'SPF record' ?

:)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True