DNS amplification attacks

Ökad trafik härrörde från en distribuerad tillgänglighetsattack av typen DNS amplification attack.

I början av februari uppmärksammade bla de som sköter namnservrar för toppdomäner kraftigt ökad trafik. Vid en närmare granskning visade det sig att trafiken härrörde från en distribuerad tillgänglighetsattack av typen DNS amplification attack.

Kortfattat innebär DNS amplification attacks att en angripare skickar paket, med fejkade IP-adresser i avsändarfältet, till DNS-servrar som hanterar förfrågningar från alla klienter. Dessa DNS-servrar skickar förfrågningarna vidare till en namnserver för en toppdomän, som skickar svar tillbaka till DNS-servrarna, som slutligen skickar svar till den fejkade IP-adressen. Angriparen använder i samband med detta en förstärkningseffekt, genom att skicka små förfrågningar med förväntan att initiera betydlig större svar.

För att reducera riskerna för denna typ av attack finns flera tillvägagångssätt. Bland annat kan avsändarens IP-adress försöka verifieras, operativsystemet och DNS-programvaran konfigureras och uppdateras på ett säkert sätt, endast förfrågningar från betrodda källor tillåtas och blockering och filtrering av trafiken implementeras.

För mer information:
http://www.icann.org/committees/security/dns-ddos-advisory-31mar06.pdf