Japanse overheid adviseert router-update na DDoS-aanvallen
Het Japanse Ministerie van Binnenlandse Zaken en Telecom adviseert internetgebruikers om de firmware van hun router te updaten, zodat kwaadwillenden ze niet meer kunnen gebruiken voor het uitvoeren van DDoS-aanvallen. Aanvallen waar inmiddels miljoenen Japanners de dupe van zijn geworden.
De aanvallers die de DDoS-aanvallen uitvoeren maken gebruik van DNS-amplificatie. Bij DNS-amplificatie worden openstaande DNS-servers gebruikt om het verkeer naar de aangevallen websites of diensten te versterken. Ook de routers die Japanners thuis hebben staan zouden over kwetsbaarheden beschikken waardoor ze kunnen worden ingezet om het effect van een DDoS-aanval te versterken.
Sinds de lente van dit jaar zijn verschillende Japanse internetproviders het doelwit van deze aanvallen geworden, waardoor in totaal zo'n 4,8 miljoen Japanse huishoudens tijdelijk niet konden e-mailen of surfen, zo meldt de Japanse krant de Yomiuri Shimbun. Om welke routers het precies gaat wordt niet gemeld.
Als dit niet als aanwijsbare reden gegeven kan worden, is "No e-mail" en "No browsing" voor hen altijd de schuld van de ISP.
Peter
Kunnen ze ook niet worden misbruikt!
Het is mogelijk UDP packets te manipuleren zodat een antwoord naar een ander IP adres wordt gestuurd, maar dat is weinig zinvol ten opzichte van een directe aanval, waarbij veel meer data kan worden verzonden naar het doel. DNS packets zijn sowieso klein bier.
Gebruik van open name servers is in helemaal niets bijzonder, dus dat kan het niet zijn.
Dus wat is nu het probleem precies?
Het is mogelijk UDP packets te manipuleren zodat een antwoord naar een ander IP adres wordt gestuurd, maar dat is weinig zinvol ten opzichte van een directe aanval, waarbij veel meer data kan worden verzonden naar het doel. DNS packets zijn sowieso klein bier.
Gebruik van open name servers is in helemaal niets bijzonder, dus dat kan het niet zijn.
Dus wat is nu het probleem precies?
Wel,
Je kan met 1 query een volledige lijst van de DNS server krijgen. Dus 1 klein vraagje; heleboel data als antwoord.
En als ik dan een spoofed IP adres gebruik, met als IP mijn doelwit; dan krijg mijn doelwit al die data (waar hij niet om gevraagd heeft; maar wat wel bandbreedte opvreet). Je kan makkelijk 10 tot 100x meer data op die manier genereren om te gebruiken om je doelwit te DDOS-en als je meerdere DNS servers gebruikt die open staan voor deze aanval.
dus 1kb versturen -> 100 KB aan data voor de slachtoffer.
Dus ik kan in plaats van 1 directe aanval, die al mijn eigen bandbreedte opsnoept, beter dit gebruiken.
Tevens is dit moeilijker te filteren (niet onmogelijk) en gebruik je een man in the middle om je slachtoffer aan te vallen.
Blijf je zelf lekker buiten schot (of je botnet), want je ziet niet goed waar de aanval nu precies vandaan komt (dat kunnen alleen de DNS beheerders zien)
Het is mogelijk UDP packets te manipuleren zodat een antwoord naar een ander IP adres wordt gestuurd, maar dat is weinig zinvol ten opzichte van een directe aanval, waarbij veel meer data kan worden verzonden naar het doel. DNS packets zijn sowieso klein bier.
Gebruik van open name servers is in helemaal niets bijzonder, dus dat kan het niet zijn.
Dus wat is nu het probleem precies?
Wel,
Je kan met 1 query een volledige lijst van de DNS server krijgen. Dus 1 klein vraagje; heleboel data als antwoord.
En als ik dan een spoofed IP adres gebruik, met als IP mijn doelwit; dan krijg mijn doelwit al die data (waar hij niet om gevraagd heeft; maar wat wel bandbreedte opvreet). Je kan makkelijk 10 tot 100x meer data op die manier genereren om te gebruiken om je doelwit te DDOS-en als je meerdere DNS servers gebruikt die open staan voor deze aanval.
dus 1kb versturen -> 100 KB aan data voor de slachtoffer.
Dus ik kan in plaats van 1 directe aanval, die al mijn eigen bandbreedte opsnoept, beter dit gebruiken.
Tevens is dit moeilijker te filteren (niet onmogelijk) en gebruik je een man in the middle om je slachtoffer aan te vallen.
Blijf je zelf lekker buiten schot (of je botnet), want je ziet niet goed waar de aanval nu precies vandaan komt (dat kunnen alleen de DNS beheerders zien)
Hoe kom je aan 100 kB data? Over welke query heb je het precies?
Als DNS beheerder zet je natuurlijk zone transfers uit. Je moet feitelijk moeite doen om het aan te zetten. Of hebben ze in Japan een DNS server die het standaard aan heeft staan?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.