image

NCSC: groot aantal Nederlandse DNS-servers staat open

woensdag 30 oktober 2013, 14:58 door Redactie, 8 reacties

Een groot aantal DNS-servers in Nederland staat open en kan zodoende door cybercriminelen worden gebruikt bij het uitvoeren van grootschalige DDoS-aanvallen, zo waarschuwt het Nationaal Cyber Security Center (NCSC) van de overheid.

De organisatie heeft een factsheet gepubliceerd waarin het netwerkbeheerders tips geeft om DDoS-aanvallen die DNS-amplificatie gebruiken te voorkomen. De afgelopen maanden vonden er verschillende grote DDoS-aanvallen plaats die DNS-amplificatie gebruikten, zoals op de anti-spamorganisatie Spamhaus.

Verkeer

Bij DNS-amplificatie maakt de aanvaller misbruik van niet-afgeschermde DNS-servers, zogeheten open DNS-resolvers, die hij via internet kan bereiken. DNS-servers worden onder andere gebruikt om domeinnamen naar IP-adressen te vertalen. De aanvaller kan de open DNS-resolver grote hoeveelheden verkeer laten sturen naar het doelwit van de DDoS-aanval.

In het geval de aanvaller over een bandbreedte van 100 Mb/s beschikt, kan dit via DNS-amplificatie worden versterkt tot 5 Gb/s. Als een aanvaller een botnet van 100 pc’s gebruikt die elk een bandbreedte van 1 Mb/s hebben, is dat voldoende om een bedrijfswebsite uit de lucht te halen. Ondanks het risico staat er in Nederland een "aanzienlijke hoeveelheid" DNS-servers open, stelt het NCSC.

Hoofdrol

"Beheerders van een open DNS-resolver spelen een hoofdrol in het voorkomen van aanvallen met DNS-amplificatie zo laat de overheidsinstantie weten. Als beheerders hun DNS-servers afschermen, wordt aanvallers de mogelijkheid ontnomen om een aanval via die DNS-servers uit te voeren.

In de nu gepubliceerde factsheet worden stappen beschreven die een netwerkbeheerder kan ondernemen om te voorkomen dat zijn systemen onbedoeld meewerken aan het uitvoeren van een DDoS-aanval met DNS-amplificatie.

Image

Reacties (8)
30-10-2013, 16:40 door Anoniem
Morgen veel informatie over dit fenomeen:

https://www.alertonline.nl/activiteiten/agenda/autumn-school-dns.aspx
30-10-2013, 17:09 door Anoniem
Misschien zie ik iets over het hoofd maar zou het niet handig zijn deze lijst te publiceren zodat mensen ook weten of ze op die lijst staan of niet?
Een soort hall of shame list..
30-10-2013, 18:53 door Anoniem
Door Anoniem: Misschien zie ik iets over het hoofd maar zou het niet handig zijn deze lijst te publiceren zodat mensen ook weten of ze op die lijst staan of niet?
Een soort hall of shame list..

Het is dat moment meteen ook een DDoS hulp lijst.
Wie zou die lijst leest meer lezen, de beheerders die al de boel niet op de orde hebben, of de DDoS gastjes ...
30-10-2013, 19:50 door Anoniem
Door Anoniem: Misschien zie ik iets over het hoofd maar zou het niet handig zijn deze lijst te publiceren zodat mensen ook weten of ze op die lijst staan of niet?
Een soort hall of shame list..
Ja en ook een lijst van providers die het toestaan dat je source adres spoofing doet.
Dat is immers de bron van deze en andere ellende. Als iedereen hier goed op filtert wordt het leven van de DDOS'er
en andere hackers een stuk lastiger.
30-10-2013, 22:41 door Anoniem
Door Anoniem: zou het niet handig zijn deze lijst te publiceren zodat mensen ook weten of ze op die lijst staan of niet?

Er zijn diverse testjes, zoals:

http://www.thinkbroadband.com/tools/dnscheck.html

En onderzoekers, zoals http://openresolverproject.org/ melden het ook via-via bij ISP's.

Zie bijvoorbeeld: http://webwereld.nl/beveiliging/78397-100-000-modems-online-klanten-te-misbruiken-voor-ddos
(inmiddels gefikst met nieuwe firmware)
31-10-2013, 05:48 door Anoniem
Het zijn niet alleen open DNS servers maar vaak ook trojans op PC's waarvandaan de gesloten DNS server uiteraard wel bereikbaar is.
31-10-2013, 09:41 door Malicious User
Door Anoniem: Misschien zie ik iets over het hoofd maar zou het niet handig zijn deze lijst te publiceren zodat mensen ook weten of ze op die lijst staan of niet?
Een soort hall of shame list..

En waarom ze niet gewoon contacten, dan wel dit via hun ISP te doen? Mensen die open resolvers draaien zijn nu niet direct de types die dagelijks op ncsc.nl ingewikkelde technische informatie gaan zitten lezen zou je zeggen.
31-10-2013, 10:27 door Anoniem
Door Malicious User:
Door Anoniem: Misschien zie ik iets over het hoofd maar zou het niet handig zijn deze lijst te publiceren zodat mensen ook weten of ze op die lijst staan of niet?
Een soort hall of shame list..

En waarom ze niet gewoon contacten, dan wel dit via hun ISP te doen? Mensen die open resolvers draaien zijn nu niet direct de types die dagelijks op ncsc.nl ingewikkelde technische informatie gaan zitten lezen zou je zeggen.

Prima als dat werkt, anders een full disclosure lijst optie.
Blijkbaar zijn er ook ISP's of hosters die het geen ruk interesseren..schijf ze aan en als ze niet reageren dan openbaar maken of liever nog afsluiten ala Xs4all.
Fix je ellende maar eerst voordat je je op internet zo verkondigt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.