Internetproviders hebben onvoldoende maatregelen genomen om gedistribueerde Denial of Service (DDoS)-aanvallen af te slaan, zo concludeert het Europees agentschap voor netwerk- en informatiebeveiliging (ENISA). Recentelijk was anti-spamorganisatie Spamhaus het doelwit van een omvangrijke DDoS-aanval, waarbij uiteindelijk ook anti-DDoS-aanbieder Cloudflare en diens netwerkproviders aangevallen.

De door de aanvallers gebruikte technieken zijn al geruime tijd bekend. Het gaat hier om DNS amplification dat nog steeds mogelijk is doordat met het internet verbonden hosts de afkomst van IP-pakketten kunnen 'spoofen'. Het tweede probleem zijn 'open recursive resolvers” op het internet.

Open resolvers zijn Domain Name Service (DNS) servers die op alle inkomende requests reageren, en niet alleen voor de DNS domeinen waar ze de authoritative nameservers voor zijn. Deze open resolvers kunnen worden misbruikt om een DDoS-aanval te versterken.

Aanbevelingen
De aanval op Spamhaus had echter geheel voorkomen kunnen worden als internetproviders 13 jaar oude aanbevelingen hadden opgevolgd, zo beweert ENISA. Het agentschap wijs naar Best Current Practice 38 (BCP38), die al bijna dertien jaar bestaat. Daarnaast is er een verzameling aanbevelingen voor DNS-serverbeheerders uit 2008 die het probleem van open resolvers tegengaan.

"Als deze aanbevelingen door alle beheerders waren geïmplementeerd, dan zou het filteren van verkeer dit soort aanvallen stoppen", aldus ENISA. "Helaas hebben zelfs vandaag veel netwerkproviders deze aanbevelingen niet geïmplementeerd."