'Aanval op Belgisch internet' blijkt mislukte spamactie

Een onverwacht hoge piek in het aantal dns-verzoeken op de nameservers van registrar Dns.be is vermoedelijk het gevolg van een mislukte spamaanval. Een aantal nameservers was circa vier uur moeilijk tot niet bereikbaar.

Dns.be, de beheerder van .be-domeinen, meldt dat zijn nameservers sinds zondag onder vuur liggen. De dns-servers zouden tot zesmaal meer query's hebben ontvangen dan normaal. Volgens de registrar zou een botnet de mx-records van .be-domeinnamen op grote schaal bij zijn tld-servers hebben opgevraagd. Omdat deze mail-informatie op de nameservers van de domeinnaamhouders staat, moesten de dns-servers continu een negatief antwoord geven op deze query's.

Door de aanhoudende requests zouden twee nameservers gedurende een periode van vier uur overbelast zijn geraakt. Volgens Dns.be konden de overige zes tld-nameservers de piek opvangen. De registrar zegt inmiddels samen met de CERT en de FCCU een onderzoek naar de ongewoon hoge belasting van zijn netwerk te zijn begonnen.

Een woordvoerder van het Belgische CERT laat aan De Standaard weten dat aanvankelijk aan een gerichte ddos-aanval werd gedacht, maar uit een nadere analyse zou blijken dat een groep spammers met een slecht geconfigureerd botnet aan de slag is gegaan. Door de configuratiefout zouden continu verkeerde query's worden afgevuurd op de dns-servers van Dns.be. Het verkeer zou vooral afkomstig zijn uit Oost-Europese en Zuid-Amerikaanse landen.

IT-banen

Reacties (25)

microsofty710 6 april 2011 21:36

Volgens de registrar zou een botnet de mx-records van .be-domeinnamen op grote schaal bij zijn tld-servers hebben opgevraagd. Omdat deze mail-informatie op de nameservers van de domeinnaamhouders staat, moesten de dns-servers continu een negatief antwoord geven op deze query's.

Err dat klopt niet. Een MX record vragen aan een TLD server is juist heel normaal. In plaats van een negatief antwoord moeten die servers steeds een referral geven, geen negatief (nxdomain) antwoord.

Joolee 6 april 2011 12:46

Claimen ze niet in een eerder nieuwsbericht 43 servers te hebben?

Het zal dan wel gaan om andere type dns servers maar dit geeft toch wel een krom beeld.

nieuws: België wil noodprocedure voor DNS.be

Tom V @Joolee • 6 april 2011 13:52

Voor zover ik begrijp hebben ze zelf 8 servers ( a.ns.dns.be , amsterdam.ns.dns.be , b.ns.dns.be, brussels.ns.dns.be, c.ns.dns.be, london.ns.dns.be, prague.ns.dns.be, x.dns.be)

Verder kunnen ze in het ergste geval nog gebruik maken van 41 anycast servers

Het vorige bericht is al wat ouder dus ik verwacht dat ze er ondertussen zelf 1 a 2 bij hebben (8 ipv 6/7) en dat er ondertussen ook wat meer anycast servers beschikbaar zijn.

Nu was het dus ook trouwens enkel zo dat er 2 van hun servers die moeilijk of soms niet bereikbaar waren.

Ajunne @Tom V • 6 april 2011 17:05

Vergeet niet dat achter iedere hostname, en ieder anycast IP nog een heel cluster kan zitten, dus zelfs met 8 IP's kunnen het makkelijk honderden machines zijn. Daar ga ik eerlijk gezegd wel een beetje van uit, anders hebben ze toch een aantal grote single points of failure...

Rutix @Joolee • 6 april 2011 12:56

Zie daar nergens 43 servers staan hoor. Er staat zelfs 6 van de 7 servers.

ajakkes @Rutix • 6 april 2011 13:01

Directeur Philip Du Bois van DNS.be ontkent dat: "Niet zes van de zeven servers waren offline, maar zes van de 43", zegt Du Bois tegen Tweakers.net.

Ik wel, dus ben benieuwd naar de echte waarheid.

MatthiasL @Rutix • 6 april 2011 13:01

"Niet zes van de zeven servers waren offline, maar zes van de 43"

Seditiar @Rutix • 6 april 2011 13:03

"Niet zes van de zeven servers waren offline, maar zes van de 43", zegt Du Bois tegen Tweakers.net.

Dus wel 43 servers.

themole 6 april 2011 12:48

Een verkeerd geconfigureerd botnet, dat is echt een grote faal.

Maar ben benieuwd wat voor een lessen ze hier uit gaan trekken.

Rutix @themole • 6 april 2011 12:58

Het is nogal de vraag of ze er wel achter komen dat ze verkeerde configuratie gebruikten. Kan namelijk best zijn dat ze het botnet gewoon hebben gehuurd voor het versturen van spam en dat ze geen flauw benul hebben dat de configuratie slecht was.

Verwijderd @Rutix • 6 april 2011 19:18

Dan heeft de verhuurder het verkeerd ingesteld... Zou ik niet blij mee zijn als klant.

Ik vraag me trouwens wel af wat een stelletje sukkels niet weet hoe ze een botnet in moeten stellen. Waarschijnlijk gewoon snel iets gedownload, gecompiled en online gegooid. Maar ja, hoe vind zo iemand ooit klanten!?

Overigens is het wel best triest dat die servers 4 uur offline zijn door een spambot foutje. Wat wordt dat wel niet als er eens een serieuzere dDOS aanval op komt?

Pietervs @themole • 6 april 2011 13:03

Een verkeerd geconfigureerd botnet, dat is echt een grote faal
Het maakt de kans dat ze gepakt worden een stuk groter... En daar hoop ik dus op: dat ze die spammers en bijbehorende botnet opsporen...

Xessive @themole • 6 april 2011 12:53

Ik denk niets. Als je al dit soort basale fouten maakt dan is het niveau niet echt van dien aard dat je er van leert. Volgens mij gaan ze door op trial and error basis.

BeerenburgCola 6 april 2011 16:03

Botnet programmeurs zijn ook maar mensen, typo hier, ddos attack daar.
Echter geeft dit wel aan wat de potentieel vernietigende kracht is van dit soort netwerken.

Marathir 6 april 2011 16:19

Ach wat jammer nou. Worden toch de spammers even gewaarschuwd dat hun botnet niet correct geconfigureerd is... Ik neem aan dat spammers met een botnet niet vaak kijken naar hun inbox om te zien hoeveel miljoenen postmaster berichten ze hebben

mae-t.net @Marathir • 7 april 2011 03:25

Dacht je dat spammers echte afzendadressen gebruikten dan? Sterker nog, vaak vullen ze als afzender ook een te spammen adres in, dat dan dus de bounce krijgt.

[Reactie gewijzigd door mae-t.net op 23 juli 2024 04:23]

Foxpat 6 april 2011 12:44

Beetje jammer als je zo door de mand valt..

Melodic Metal 6 april 2011 12:48

Dan wil ik niet weten wat er dagelijks wel door heen komt, dus met goed geconfigureerde botnets, gezien ze het dan niet hadden opgemerkt.

Termin8r 6 april 2011 13:39

Sapmmers zijn al de paria's van internet, maar ze maken met hun asociale opportunisme ook nog eens een hoop stuk. Keihard aanpakken, die lui.

Niemand_Anders @field33P • 6 april 2011 17:00

De bots proberen uiteraard de MX records (ofwel welke servers accepteren mail voor domein Y) op te vragen. Het heeft verder dus niets met de mailadressen (whois informatie) van de registrars te maken. Echter de dns.be servers bevatten alleen SOA en NS records, de rest moet de dns client zelf ophalen bij de (autoritive) nameserver van het betreffende domein.

Ik begrijp alleen niet waarom dns.be hun DNS software niet zodanig heeft gepatched zodat queries voor andere record types dan SOA en NS direct een negatief antwoord terug geeft.

Ajunne @field33P • 6 april 2011 17:07

Niet relevant. Het botnet was gewoon verkeerd ingesteld zodat het net de MX queries ging doen bij de DNS servers van de .be zone, en niet van de domain.be zone. Heeft helemaal niks te maken met het al dan niet aanwezig zijn van e-mail adressen in de WHOIS informatie. Overigens staan e-mail adressen van de licensee niet in de WHOIS van .be.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (25)

Sorteer op:

Weergave: